FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

Juniper EXシリーズ スイッチ Firewallで使用可能なニーモニック表 サービス名とポート番号の対応 JUNOS

2016.07.22 (Fri)
続きを読む »
スポンサーサイト



Cisco ACLのカウンターについて フィルタリングは効いているのにカウントアップしない

2015.08.27 (Thu)

CiscoのACLでACLが効いているか、
どの定義でマッチしたかを確認するには、

show access-list ID or WORD

で確認可能である。


例)
ACL:v10iを確認する場合


Cat4500X#show access-lists v10i
Extended IP access list v10i
10 permit ip 10.0.0.0 0.0.0.255 any (1218434 matches)
20 permit ip 10.0.1.0 0.0.0.255 any (60473089 matches)
30 permit ip 10.0.2.0 0.0.0.255 any (12937740 matches)
Cat4500X#







対象のACLで処理されたものが(XXX matches)という表記でカウントアップされる。


ただし、通常ACLはハードウェアされるが、
ソフトウェア処理されたものだけがカウントされる。


ハードウェア処理された ACL のカウント数を表示するには、

show access-list hardware counters

コマンドとなる。

ただ、Catalyst4500Xでは以下のとおりこのコマンドが使用できなかった。



Cat4500X#show access-list ?
<1-2799> ACL number
WORD ACL name
ipc Show access-list config download info
rate-limit Show rate-limit access lists
| Output modifiers


Cat4500X#show access-list v10i hardware counters
^
% Invalid input detected at '^' marker.

Cat4500X#

Juniper JUNOS 指定サイズ以上のICMPパケットを拒否するFirewallFilter(ACL)の設定方法

2014.11.30 (Sun)

■例

64byte(IPヘッダ+ICMPヘッダ+データ)までのicmp echoを許可し、
64byte以上を拒否する場合。




★設定例

firewall{
filter ICMP {
term under-64bytes {
from {
packet-length 0-84; <<<許可する範囲を設定
protocol icmp;
}
then {
accept;
}
}
term over-64bytes {
from {
protocol icmp;
}
then {
discard; <<<範囲外のサイズのicmp packetを拒否
}
}
}
}








■通信試験

★64byteの場合

user@MX480 > ping 10.0.0.1 size 56(icmpヘッダ 8byte付加され64 byte)

PING 10.0.0.1 (10.0.0.1): 56 data bytes
64 bytes from 10.0.0.1: icmp_seq=0 ttl=64 time=2.128 ms
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=1.771 ms
^C
--- 10.0.0.1 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.771/1.950/2.128/0.179 ms


★65byteの場合

user@MX480 > ping 10.0.0.1 size 57
PING 10.0.0.1 (10.0.0.1): 57 data bytes
^C
--- 10.0.0.1 ping statistics ---
4 packets transmitted, 0 packets received, 100% packet loss


 | HOME |  Next »