Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:IP オプション パケットをカウントするフィルターの設定

次に、ステートレス ファイアウォール フィルターを使用して、個々の IP オプション パケットをカウントする例を示します。

要件

この例では、MX シリーズ ルーター上の 10 ギガビット イーサネット モジュラー ポート コンセントレータ(MPC)、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、または 60 ギガビット イーサネット拡張キューイング MPC 上のインターフェイスを使用します。このインターフェイスを使用すると、discard終了アクションを使用しなくても、特定の ip-option値に一致するパケットに対してcountlog、およびsyslog非終了アクションを使用できるIPv4ファイアウォールフィルター(標準またはサービスフィルター)を適用できます。

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、ステートレス ファイアウォール フィルターを使用して、IP オプション パケットをカウントしますが、トラフィックはブロックしません。また、このフィルターは、ルーズまたはストリクトなソースルーティングがあるパケットをログに記録します。

IP オプション ヘッダー フィールドは、IPv4 ヘッダーのみのオプション フィールドです。ip-options および ip-options-except 一致条件は、標準のステートレス ファイアウォール フィルターおよびサービス フィルターでのみサポートされます。

注:

MおよびT Seriesルーターでは、ファイアウォールフィルターはオプションタイプとインターフェイス単位で ip-optionsパケットをカウントできません。限られた回避策は、 show pfe statistics ip options コマンドを使用して、パケット転送エンジン(PFE)単位で ip-options 統計情報を確認することです。サンプル出力については、show pfe statistics ipを参照してください。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。

ステートレス ファイアウォール フィルターを構成する

ステップバイステップでの手順

ステートレス ファイアウォール フィルター ip_option_filterを構成するには:

  1. ステートレス ファイアウォール フィルター ip_option_filterを作成します。

  2. strict_source_route IPオプションのヘッダーフィールドで、パケットをカウントし、記録し、受け入れるように最初の条件を設定します。

  3. loose-source-route IPオプションヘッダーフィールドで、パケットをカウントし、ログに記録し、受け入れる次の条件を設定します。

  4. record-route IPオプションヘッダーフィールドでパケットをカウントして受け入れる次の条件を設定します。

  5. timestamp IPオプションヘッダーフィールドでパケットをカウントして受け入れる次の条件を設定します。

  6. router-alert IPオプションヘッダーフィールドでパケットをカウントして受け入れる次の条件を設定します。

  7. カウンターをインクリメントせずにパケットを受信する最後の条件を作成します。

ステートレス ファイアウォール フィルターの論理インターフェイスへの適用

ステップバイステップでの手順

ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:

  1. ステートレス ファイアウォール フィルターを適用する論理インターフェイスを構成します。

  2. 論理インターフェイスのインターフェイスアドレスを設定します。

  3. ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。

受験者の設定を確認してコミットする

ステップバイステップでの手順

候補の設定を確認してコミットするには、次の手順に従います。

  1. show firewall 設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  2. show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定をコミットします。

検証

設定が正常に機能していることを確認するには、 show firewall filter ip_option_filter operational mode コマンドを入力します。また、次の形式の コマンドを使用して、ログと個々のカウンタを個別に表示することもできます。

  • show firewall counter strict_source_route

  • show firewall counter loose_source_route

  • show firewall counter record_route

  • show firewall counter timestamp

  • show firewall counter router_alert

  • show firewall log