Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:IP オプション パケットをカウントするフィルターの設定

次に、ステートレス ファイアウォール フィルターを使用して、個々の IP オプション パケットをカウントする例を示します。

要件

この例では、MX シリーズ ルーター上の 10 ギガビット イーサネット モジュラー ポート コンセントレータ(MPC)、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、または 60 ギガビット イーサネット拡張キューイング MPC 上のインターフェイスを使用します。このインターフェイスを使用すると、特定の値に一致するパケットに対して、 count、 、および 非終了アクションを使用できるIPv4ファイアウォールフィルター(標準またはサービスフィルター)を適用できます。また、終了アクションも使用する必要はありません。logsyslogip-optiondiscard

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、ステートレス ファイアウォール フィルターを使用して、IP オプション パケットをカウントしますが、トラフィックはブロックしません。また、このフィルターは、ルーズまたはストリクトなソースルーティングがあるパケットをログに記録します。

IP オプション ヘッダー フィールドは、IPv4 ヘッダーのみのオプション フィールドです。および 一致条件は、標準のステートレスファイアウォールフィルターとサービスフィルターでのみサポートされています。ip-optionsip-options-except

注:

MおよびT Seriesルーターでは、ファイアウォールフィルターはオプションタイプとインターフェイス単位で ip-optionsパケットをカウントできません。限定的な回避策は、 コマンドを使用して、パケット転送エンジン(PFE)単位で統計情報を表示する ことです。show pfe statistics ip optionsip-options サンプル出力については、show pfe statistics ipを参照してください。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]

ステートレス ファイアウォール フィルターを構成する

ステップバイステップでの手順

ステートレス ファイアウォール フィルター を設定するには:ip_option_filter

  1. ステートレスファイアウォールフィルター を作成します。ip_option_filter

  2. 最初の条件を設定して、IPオプションのヘッダーフィールドでパケット をカウントし、記録し、受け入れます。strict_source_route

  3. IPオプションのヘッダーフィールドで、パケット をカウントし、記録し、受け入れる次の条件を設定します。loose-source-route

  4. IP オプションのヘッダー フィールドを使用して 、パケットをカウントして受け入れる次の条件を設定します。record-route

  5. IP オプションのヘッダー フィールドを使用して 、パケットをカウントして受け入れる次の条件を設定します。timestamp

  6. IP オプションのヘッダー フィールドを使用して 、パケットをカウントして受け入れる次の条件を設定します。router-alert

  7. カウンターをインクリメントせずにパケットを受信する最後の条件を作成します。

ステートレス ファイアウォール フィルターの論理インターフェイスへの適用

ステップバイステップでの手順

ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:

  1. ステートレス ファイアウォール フィルターを適用する論理インターフェイスを構成します。

  2. 論理インターフェイスのインターフェイスアドレスを設定します。

  3. ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。

受験者の設定を確認してコミットする

ステップバイステップでの手順

候補の設定を確認してコミットするには、次の手順に従います。

  1. 設定モード コマンドを入力して 、ステートレス ファイアウォール フィルターの設定を確認します。show firewall コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  2. 設定モード コマンドを入力して、 インターフェイスの設定を確認します。show interfaces コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定をコミットします。

検証

設定が正常に機能していることを確認するには、 運用モードコマンドを入力します 。show firewall filter ip_option_filter また、次の形式の コマンドを使用して、ログと個々のカウンタを個別に表示することもできます。

  • show firewall counter strict_source_route

  • show firewall counter loose_source_route

  • show firewall counter record_route

  • show firewall counter timestamp

  • show firewall counter router_alert

  • show firewall log

関連項目