Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:IP オプションパケット数をカウントするためのフィルタの設定

次の例は、ステートレスファイアウォールフィルタを使用して、個々の IP オプションパケットをカウントする方法を示しています。

要件

この例では、mPC(10ギガビット イーサネット モジュラー ポート コンセントレータ)、60ギガビット イーサネットMPC、60ギガビット キューイング イーサネットMPC、またはMX シリーズルーター上の60ギガビット イーサネット拡張キューイングMPC上のインターフェイスを使用しています。countこのインターフェイスを使用するとlog syslog 、IPv4 ファイアウォールフィルター (標準またはサービスフィルター) を適用して、特定の値に一致するパケットに対して、そのユーザーが指定 ip-optiondiscardたものを使用することなく、アクションを終了しています。

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

概要

この例では、ステートレスファイアウォールフィルターを使用して IP オプションパケットをカウントしますが、トラフィックをブロックすることはありません。また、フィルターによって、ソースルーティングが緩やかになったり、厳密になったりしたパケットがログに記録されます。

IP オプション ヘッダー フィールドは、IPv4 ヘッダーのオプション フィールドのみです。And ip-optionsip-options-except match 条件は、標準のステートレスファイアウォールフィルターとサービスフィルターでのみサポートされます。

注:

M と T シリーズのルーターでは、ファイアウォールip-optionsフィルターは、1つのオプションタイプとインターフェイスごとにパケットをカウントできません。このshow pfe statistics ip optionsコマンドを使用して、パケット転送エンジン (pfe ip-options ) 単位で統計情報を確認することは、制限された回避策です。サンプル出力にpfe 統計 ip を表示するを参照してください。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定モードでの CLI エディターの使用 してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

ステートレスファイアウォールフィルターを構成します。

順を追った手順

ステートレスファイアウォールフィルター ip_option_filterを構成するには、次のようにします。

  1. ステートレスファイアウォールフィルター ip_option_filterを作成します。

  2. strict_source_route IP オプションヘッダーフィールドを使用して、パケットのカウント、ログ、および受け付けを行うための最初の条件を構成します。

  3. loose-source-route IP オプションヘッダーフィールドを使用して、パケットのカウント、ログ、および受け付けを行うための次の条件を構成します。

  4. record-route IP オプションヘッダーフィールドを使用してパケットをカウントして受け入れるように、次の用語を構成します。

  5. timestamp IP オプションヘッダーフィールドを使用してパケットをカウントして受け入れるように、次の用語を構成します。

  6. router-alert IP オプションヘッダーフィールドを使用してパケットをカウントして受け入れるように、次の用語を構成します。

  7. カウンターを増加させずにパケットを受け入れられるようにする最後の用語を作成します。

ステートレスファイアウォールフィルターを論理インターフェイスに適用します。

順を追った手順

ステートレスファイアウォールフィルターを論理インターフェイスに適用するには、次のようにします。

  1. ステートレスファイアウォールフィルターの適用先となる論理インタフェースを設定します。

  2. 論理インタフェースのインタフェースアドレスを設定します。

  3. ステートレスファイアウォールフィルターを論理インターフェイスに適用します。

受験者の構成を確認して確定します。

順を追った手順

候補の設定を確認してからコミットするには、以下のようにします。

  1. show firewall構成モードのコマンドを入力して、ステートレスファイアウォールフィルターの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定を確定します。

検証

構成が正常に機能していることを確認ファイアウォールの表示 filter ip_option_filterするには、運用モードコマンドを入力します。また、以下の形式のコマンドを使用して、ログと個々のカウンターを個別に表示することもできます。

  • show firewall counter strict_source_route

  • show firewall counter loose_source_route

  • show firewall counter record_route

  • show firewall counter timestamp

  • show firewall counter router_alert

  • show firewall log