Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:IP オプションパケットのカウントと破棄のためのフィルタの設定

この例は、標準のステートレスファイアウォールを構成してパケットをカウントする方法を示しています。

要件

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

フィルタ条件は任意の IP オプション値で一致します。フィルタ条件は、10 ギガビット イーサネット モジュラー ポート コンセントレータ countdiscard (MPC)、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、または MX シリーズ ルーター上の 60 ギガビット イーサネット 拡張キューイング MPC のインターフェイスを必要とせずに、終了アクションなしで、終了しないアクションを使用できます。

概要

この例では、標準的なステートレス ファイアウォール フィルタを使用して、IP オプション値を含むが他のすべてのパケットを受け入れるパケットをカウントおよび破棄します。

IP オプション ヘッダー フィールドは、IPv4 ヘッダーのオプション フィールドのみです。And ip-optionsip-options-except match 条件は、標準のステートレスファイアウォールフィルターとサービスフィルターでのみサポートされます。

注:

M と T シリーズのルーターでは、ファイアウォールip-optionsフィルターは、1つのオプションタイプとインターフェイスごとにパケットをカウントできません。このshow pfe statistics ip optionsコマンドを使用して、パケット転送エンジン (pfe ip-options ) 単位で統計情報を確認することは、制限された回避策です。サンプル出力にpfe 統計 ip を表示するを参照してください。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLI、 設定モードでの CLI エディターの使用 を参照してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

ステートレスファイアウォールフィルターを構成します。

順を追った手順

ステートレスファイアウォールフィルターを構成するには、次のようにします。

  1. ステートレスファイアウォールフィルター block_ip_optionsを作成します。

  2. IP オプションヘッダーフィールドを含むパケットをカウントおよび破棄するように、最初の条件を構成します。

  3. その他のすべてのパケットを受け入れるようにもう1つの条件を設定します。

ステートレスファイアウォールフィルターを論理インターフェイスに適用します。

順を追った手順

ステートレスファイアウォールフィルターを論理インターフェイスに適用するには、次のようにします。

  1. ステートレスファイアウォールフィルターの適用先となる論理インタフェースを設定します。

  2. 論理インタフェースのインタフェースアドレスを設定します。

  3. ステートレスファイアウォールフィルターを論理インターフェイスに適用します。

受験者の構成を確認して確定します。

順を追った手順

候補の設定を確認してからコミットするには、以下のようにします。

  1. show firewall構成モードのコマンドを入力して、ステートレスファイアウォールフィルターの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定を確定します。

検証

構成が正常に機能していることを確認show firewall filter block_ip_optionsするには、運用モードコマンドを入力します。破棄されたパケット数を個別に表示するshow firewall count option_anyには、コマンドのフォームを入力します。