FutureNet

NXR,VXRシリーズ

NAT・フィルタ編

1. フィルタ設定

1-7. フィルタログ設定

フィルタログとはパケットがIPv4/IPv6アクセスリストやSPI(ステートフルパケットインスペクション)フィルタにマッチした場合、その情報をシスログに出力する機能です。

 

【 設定例 】

<IPv4アクセスリストでフィルタログを有効にする>
(config)#ip access-list [IPアクセスリスト名] [permit|deny] [マッチ条件] log

設定したIPアクセスリストにマッチした場合、シスログに情報を出力します。
(☞) 多数のアクセスリストでログ出力を有効に設定するとシステムが高負荷状態になる可能性がありますのでご注意下さい。

 

<IPv6アクセスリストでフィルタログを有効にする>
(config)#ipv6 access-list [IPアクセスリスト名] [permit|deny] [マッチ条件] log

設定したIPv6アクセスリストにマッチした場合、シスログに情報を出力します。
(☞) 多数のアクセスリストでログ出力を有効に設定するとシステムが高負荷状態になる可能性がありますのでご注意下さい。

 

<IPv4 SPIフィルタでフィルタログを有効にする>
(config)#interface ppp 0
(config-ppp)#ip spi-filter log

ppp0インタフェースのIPv4 SPIフィルタにマッチした場合、シスログに情報を出力します。

 

<IPv6 SPIフィルタでフィルタログを有効にする>
(config)#interface ethernet 1
(config-if)#ipv6 spi-filter log

ethernet1インタフェースのIPv6 SPIフィルタにマッチした場合、シスログに情報を出力します。

 

【 補足 】

フィルタログ機能では各アクセスリスト毎にACL名とは別にタグ(名前)付与機能に対応している機種があります。この機能を利用することでマッチ条件毎に別々の名前でログ出力させることができます。

<IPv4アクセスリストでフィルタログ出力時にタグ(名前)も合わせて表示する>
(config)#ip access-list [IPアクセスリスト名] [permit|deny] [マッチ条件] log [タグ]

設定したIPアクセスリストにマッチした場合、シスログに情報を出力します。また出力時に設定したタグ(名前)も合わせて表示するようにします。

 

<IPv6アクセスリストでフィルタログ出力時にタグ(名前)も合わせて表示する>
(config)#ipv6 access-list [IPアクセスリスト名] [permit|deny] [マッチ条件] log [タグ]

設定したIPv6アクセスリストにマッチした場合、シスログに情報を出力します。また出力時に設定したタグ(名前)も合わせて表示するようにします。