古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
設定例
アクセスリストを使って特定の宛先IPアドレスのパケットのみ受信しない設定
全機種対応
説明
ネットワーク192.168.0.0/24宛のパケットのみを受信しない設定です。
構成
コマンド設定
interface ewan 1
 ip mtu 1500
 ip address 192.168.1.1 255.255.255.0
 ip access-group 100 in
exit
interface lan 1
 ip address 192.168.0.1 255.255.255.0
exit
access-list 100 deny ip any 192.168.0.0 0.0.0.255
end
設定手順

ネットワーク192.168.1.0/24へのパケットのみ送信しません。

設定内容 画面表示例
特権ユーザモードへの移行
パスワードの入力

設定情報の初期化

設定モードの変更
設定入力











設定保存



装置再起動
Router>enable
Enter password:
Router#
Router#clear working.cfg
Router#
Router#configure terminal
Router(config)#interface ewan 1
Router(config-if ewan 1)# ip mtu 1500
Router(config-if ewan 1)# ip address 192.168.1.1 255.255.255.0
Router(config-if ewan 1)# ip access-group 100 in
Router(config-if ewan 1)#exit
Router(config)#interface lan 1
Router(config-if lan 1)# ip address 192.168.0.1 255.255.255.0
Router(config-if lan 1)#exit
Router(config)#access-list 100 deny ip any 192.168.0.0 0.0.0.255
Router(config)#
Router(config)#end
Router#
Router#save SIDE-A
% saving working-config
% finished saving

Router#reset
Going to reset with SIDE-A.frm and SIDE-A.cfg.
Boot-back not scheduled for next boot.
Next rebooting firmware SIDE-A.frm is fine.
Are you OK to cold start?(y/n)y
設定状態の確認 1

アクセスリストを確認します。

確認内容 画面表示例
アクセスリスト情報を表示

設定が正しいことを確認
Router>show access-lists

Extended IP access list 100
  deny ip any 192.168.1.0 0.0.0.255

Router>
設定状態の確認 2

遮断パケットを確認します。

1.access-listコマンドのlogを設定する方法

設定内容 画面表示例
access-list コマンドのlog を設定する access-list 100 deny ip any 192.168.0.0 0.0.0.255 log

※:access-listコマンドの設定は追加形式であるため、現在設定されているアクセスリスト番号に適用する場合は、設定を一度削除して再度設定し直して下さい。

access-listのlog オプションを使用する場合は、中継性能が下がります。一時的なパケット確認にご使用して下さい。


パケットlogを確認します。

確認内容 画面表示例
パケットlog を表示




アクセスリストの100 番に適用したパケット情報
Router> show flog

0000 0000:00:00.00 2011/05/31 (tue) 16:09:57 0 00000000 4dd37c80
  #BOOT[V01.04(00)-053111] SIDE-A.frm SIDE-A.cfg
0001 0000:02:09.63 2011/05/31 (tue) 16:12:09 15 00000000 00000000
  100 D EWAN1 in ICMP 192.168.1.2 192.168.0.2
0002 0000:02:11.63 2011/05/31 (tue) 16:12:11 15 00000000 00000000
  100 D EWAN1 in ICMP 192.168.1.2 192.168.0.2
0003 0000:02:13.63 2011/05/31 (tue) 16:12:13 15 00000000 00000000
  100 D EWAN1 in ICMP 192.168.1.2 192.168.0.2
0004 0000:02:15.63 2011/05/31 (tue) 16:12:15 15 00000000 00000000
  100 D EWAN1 in ICMP 192.168.1.2 192.168.0.2
0005 0000:02:17.63 2011/05/31 (tue) 16:12:17 15 00000000 00000000
  100 D EWAN1 in ICMP 192.168.1.2 192.168.0.2

2.access-listコマンドのcountを設定する方法

設定内容 画面表示例
access-list コマンドのcount を設定する access-list 100 deny ip any 192.168.0.0 0.0.0.255 count

※:access-listコマンドの設定は追加形式であるため、現在設定されているアクセスリスト番号に適用する場合は、設定を一度削除して再度設定し直して下さい。
"log"と"count"は同時に設定することもできます。


カウント情報を確認します。

確認内容 画面表示例
カウント情報を表示


ewan1 のアクセスリスト100 番のカウントを表示
Router>show access-lists statistics

Interface number frames bytes
ewan 1       100      5   500

Router>

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2011