古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
設定例
学習フィルタリング機能を使ってLAN側ネットワーク発のTCP/UDPパケットとその応答パケットのみ
通過させる設定
全機種対応
説明
学習フィルタリングを使用し、LAN側からのTCPまたはUDP通信に対する応答データ以外はフィルタリング(廃棄)します。
構成
コマンド設定
ip route 0.0.0.0 0.0.0.0 pppoe 1
access-list 1 permit any
access-list 101 dynamic permit tcp 192.168.0.0 0.0.0.255 any
access-list 101 dynamic permit udp 192.168.0.0 0.0.0.255 any
access-list 199 deny ip any any
interface pppoe 1
 ip address 192.0.2.1
 ip access-group 101 out
 ip access-group 199 in
 pppoe server internet
 pppoe account ********@***.***.ne.jp ******
 pppoe type host
 ip nat inside source list 1 interface
exit
interface lan 1
 ip address 192.168.0.1 255.255.255.0
exit
end
設定手順
設定内容 画面表示例
特権ユーザモードへの移行
パスワードの入力

設定情報の初期化

設定モードの変更
設定入力





















設定保存



装置再起動
Router>enable
Enter password:
Router#
Router#clear working.cfg
Router#
Router#configure terminal
Router(config)#ip route 0.0.0.0 0.0.0.0 pppoe 1
Router(config)#access-list 1 permit any
Router(config)#access-list 101 dynamic permit tcp 192.168.0.0 0.0.0.255 any
Router(config)#access-list 101 dynamic permit udp 192.168.0.0 0.0.0.255 any
Router(config)#access-list 199 deny ip any any
Router(config)#interface pppoe 1
Router(config-if pppoe 1)# ip address 192.0.2.1
Router(config-if pppoe 1)# ip access-group 101 out
Router(config-if pppoe 1)# ip access-group 199 in
Router(config-if pppoe 1)# pppoe server internet
Router(config-if pppoe 1)# pppoe account ********@***.***.ne.jp ******
Router(config-if pppoe 1)# pppoe type host
Router(config-if pppoe 1)# ip nat inside source list 1 interface
Router(config-if pppoe 1)#exit
Router(config)#interface lan 1
Router(config-if lan 1)# ip address 192.168.0.1 255.255.255.0
Router(config-if lan 1)#exit
Router(config)#
Router(config)#end
Router#
Router#save SIDE-A.cfg
% saving working-config
% finished saving

Router#reset
Going to reset with SIDE-A.frm and SIDE-A.cfg.
Boot-back not scheduled for next boot.
Next rebooting firmware SIDE-A.frm is fine.
Are you OK to cold start?(y/n)y
設定状態の確認 1

アクセスリストを確認します。

確認内容 画面表示例
アクセスリスト情報を表示

設定が正しいことを確認


設定が正しいことを確認
Router>show access-lists

Standard IP access list 1
  permit any

Extended IP access list 101
  dynamic permit tcp 192.168.0.0 0.0.0.255 any
  dynamic permit udp 192.168.0.0 0.0.0.255 any

Extended IP access list 199
  deny any

Router>
設定状態の確認 2

中継パケットを確認します。

1.access-listコマンドのlogを設定する方法

設定内容 画面表示例
access-list コマンドのlog を設定する access-list 101 dynamic permit tcp 192.168.0.0 0.0.0.255 any log

※:access-listコマンドの設定は追加形式であるため、現在設定されているアクセスリスト番号に適用する場合は、設定を一度削除して再度設定し直して下さい。

access-listのlog オプションを使用する場合は、中継性能が下がります。一時的なパケット確認にご使用して下さい。


パケットlogを確認します。

確認内容 画面表示例
パケットlog を表示




アクセスリストの101番のoutに適用したパケット情報
Router> show flog

035 0000:00:00.00 2011/09/05 (mon) 17:37:37 0 00000000 4e1bff00
  #BOOT[V02.10(04)-082211] SIDE-A.frm SIDE-A.cfg
036 0000:00:07.33 2011/09/05 (mon) 17:37:44 15 00000000 00000000
  101 P PPPoE1 out TCP 192.168.0.2:3873 198.51.100.1:80

2.access-listコマンドのcountを設定する方法

設定内容 画面表示例
access-list コマンドのcount を設定する access-list 101 dynamic permit tcp 192.168.0.0 0.0.0.255 any count

※:access-listコマンドの設定は追加形式であるため、現在設定されているアクセスリスト番号に適用する場合は、設定を一度削除して再度設定し直して下さい。
"log"と"count"は同時に設定することもできます。


カウント情報を確認します。

確認内容 画面表示例
カウント情報を表示


pppoe1 のアクセスリスト101 番のカウントを表示
Router>show access-lists statistics

Interface number frames bytes
pppoe 1      101      1    48

Router>

3.プライベートネットワーク(192.168.0.1/24)のPCから、HTTP/FTP/DNSサーバへアクセスをおこなった場合の学習フィルタリングテーブルの内容を表示します。


HTTPサーバへのアクセスにより作成された学習フィルタリングテーブル

確認内容 画面表示例
学習フィルタリングテーブルを表示

最大セッション数
セッション数
Router#show ip stateful-packet

Session summary (equipment total):
 Max sessions: 2048
 Active sessions: 1

PPPoE1
 Source Address Port Dest Address Port Id Seq Prot Age
--------------------+-----------------+------+----+-----
 192.168.0.2    2347 198.51.100.1   80        tcp    16

FTPサーバへのアクセスにより作成された学習フィルタリングテーブル

確認内容 画面表示例
学習フィルタリングテーブルを表示

最大セッション数
セッション数
Router#show ip stateful-packet

Session summary (equipment total):
 Max sessions: 2048
 Active sessions: 2

PPPoE1
 Source Address Port Dest Address Port Id Seq Prot Age
--------------------+-----------------+------+----+-----
 192.168.0.2    2353 198.51.100.2   20        tcp    53
 192.168.0.2    2351 198.51.100.2   21        tcp    56

DNSサーバへのアクセスにより作成された学習フィルタリングテーブル

確認内容 画面表示例
学習フィルタリングテーブルを表示

最大セッション数
セッション数
Router#show ip stateful-packet

Session summary (equipment total):
 Max sessions: 2048
 Active sessions: 3

PPPoE1
 Source Address Port Dest Address Port Id Seq Prot Age
--------------------+-----------------+------+----+-----
 192.168.0.2    2362 198.51.100.3   53        udp     9
 192.168.0.2    2361 198.51.100.3   53        udp     9
 192.168.0.2    2360 198.51.100.3   53        udp     9

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2011