[index] CentreCOM 8316XL/8324XL コマンドリファレンス 2.7

ハードウェアパケットフィルター/概要・基本設定

  - 基本動作
   - フィルターの構成
   - フィルター処理の流れ
  - 設定手順
   - フィルター（マッチ条件）の作成
   - フィルター番号の確認
   - フィルターエントリーの追加
    - フィルター番号の指定
    - フィルタリング条件の指定
    - アクションの指定
  - コマンド例
  - 設定例
   - 特定スイッチポートからのみUDP通信を許可
   - TCP片方向通信

ハードウェアパケットフィルターは、ハードウェア（ASIC）レベルでIPトラフィックのフィルタリングを行う機能です。

ハードウェアパケットフィルターには以下の特長があります。

• ハードウェアで処理するため高速
  
• ポート単位でのフィルタリングが可能
  

• Ethernetヘッダーの送信元、宛先MACアドレスとプロトコルタイプ（タグ付き、タグなし）
  
• 入出力スイッチポート
  
• IPヘッダーのTOS優先度（precedence）またはDSCP（DiffServ Code Point）、TTL、プロトコル、始点・終点IPアドレス
  
• TCPヘッダーの始点・終点ポート、制御フラグ（Syn、Ack、Fin）
  
• UDPヘッダーの始点・終点ポート
  

• 破棄・許可
  
• 出力スイッチポートの変更
  
• 出力キューレベルの変更
  
• VLANタグフレームの802.1pユーザープライオリティーフィールドを書き換え
  
• IPパケットのTOS優先度フィールド、または、DSCPフィールドを書き換え
  
• ミラーポートにパケットをコピー
  

基本動作

フィルターの構成

• マッチ条件（フィルター）は、パケットヘッダーのどのフィールドを使ってパケットをふるいわけるかを指定するもので、ADD SWITCH L3FILTER MATCHコマンドで作成します。オプションで、どのエントリーにもマッチしなかった場合の処理も指定できます（NOMATCHACTION）。
  
  
• フィルターエントリーは、マッチ条件に対して具体的な値を指定し、マッチしたパケットに対して行う処理（アクション）を指定するもので、ADD SWITCH L3FILTER ENTRYコマンドで追加します。
  
  

  

• マッチ条件（フィルター）はシステム全体で14個まで（IGMP SnoopingおよびMLD Snooping無効時は16個）
  
• フィルターエントリーは、10/100Mポートで最大252個まで（IGMP SnoopingおよびMLD Snooping無効時は254個）、1000Mポートで最大124個まで（IGMP SnoopingおよびMLD Snooping無効時は126個）
  

• IPORTオプションを指定した場合は、10/100Mポートの1ブロックあたり254エントリーまで、1000Mポートの1ブロックあたり126エントリーまで作成できる
  
• IPORTオプションを指定した場合は、該当ブロックから1エントリー消費される（該当ブロックがフルエントリーの場合は追加できない）
  
• IPORTオプションを指定しない場合は、各ブロックから1エントリーずつ消費される（いずれかのブロックがフルエントリーの場合は追加できない）
  

• DHCP Snooping機能を有効にすると、10/100Mポートのブロックでは10エントリー、1000Mポートのブロックでは3エントリー消費される
  
• DHCPクライアントを1クライアント登録するごとに、該当ブロックから1エントリー消費される
  

フィルター処理の流れ

Note - 以下の説明は、設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。あらかじめご了承ください。

1. パケットを受信すると、FDBを参照して出力先（出力ポート）を決定します。
   
   
2. すべてのフィルター（マッチ条件）、すべてのフィルターエントリーをチェックし、受信パケットの入出力スイッチポート、IP、TCP、UDPヘッダーフィールドと一致するものがあるかどうかを調べていきます。一致するエントリーが1つ以上あった場合は、一致したエントリーのアクションをすべて「アクションリスト」にリストアップしておきます。
   
   

   Note - NOMATCHACTIONが指定されているフィルターの場合、該当フィルターのどのエントリーにもマッチしなかったパケットには、NOMATCHACTIONパラメーターで指定されたアクションが適用されます。NOMATCHACTIONパラメーターが指定されていない場合は、アクションなしとなります。

   
   
3. この時点で「アクションリスト」が空の場合は、フィルター処理を完了し、通常どおりパケットを処理します（パケットを出力）。
   
   
4. アクションリストが完成したら、以下の順序でパケットを処理します。フィルター番号順に処理されるのではない点に注意してください。また、以下の各手順では「フィルター処理を終了」と明記していない限り、自動的に次の手順に進みます（パケットに対し、複数のアクションが適用される場合があります）。
   
   
   1. アクションリスト内に「TOS書き換え系のアクション」（SETTOS、SETIPDSCP、MOVEPRIOTOTOS）があるか調べます。同系のアクションが複数あるときは、フィルター番号の最も大きなアクションだけを選択して実行します。したがって、以下の3つのうち、どれか1つだけが実行されることになります。
      
      
      • SETTOSアクションの場合は、IPヘッダーのTOS優先度（precedence）フィールドにNEWTOSパラメーターで指定された値を書き込みます。
        
        
      • SETIPDSCPアクションの場合は、IPヘッダーのDSCPフィールドにNEWIPDSCPパラメーターで指定された値を書き込みます。
        
        
      • MOVEPRIOTOTOSアクションの場合は、受信時の802.1pユーザープライオリティーフィールドの値を、IPヘッダーのTOS優先度（precedence）フィールドにコピーします。
        
      
      

      Note - ここで書き込んだTOS優先度値、DSCP値が、フィルターエントリーの検索に影響することはありません（アクションリストの検証に入った時点で、すでにエントリーの検索が完了しているため）。フィルターエントリー検索時には、パケット受信時のTOS優先度値、DSCP値が使われます。

      
      

      Note - MOVEPRIOTOTOSアクションで使われる802.1pフィールド値は、パケット受信時の値です。802.1pフィールドを書き換えるアクション（SETPRIORITY、MOVETOSTOPRIO）によって書き換えられた値ではありません。

      
      
   2. アクションリスト内に「802.1p書き換え系のアクション」（SETPRIORITY、MOVETOSTOPRIO）があるか調べます。同系のアクションが複数あるときは、フィルター番号の最も大きなアクションだけを選択して実行します。したがって、以下の2つのうち、どれか1つだけが実行されることになります。
      
      
      • SETPRIORITYアクションの場合は、VLANタグフレームの802.1pユーザープライオリティーフィールドにPRIORITYパラメーターで指定された値を書き込みます。
        
        
      • MOVETOSTOPRIOアクションの場合は、受信時のIP TOS優先度（precedence）フィールドの値を、VLANタグフレームの802.1pユーザープライオリティーフィールドにコピーします。
        
      
      

      Note - 実際にプライオリティー値がセットされた状態でパケットが出力されるには、出力ポートがタグ付き（TAGGED）に設定されている必要があります。出力ポートがタグなし（UNTAGGED）の場合は、VLANタグがない状態でパケットが出力されるため、本アクションは実質的な意味を持ちません。

      
      
   3. アクションリスト内に「SENDMIRRORアクション」があるか調べます。SENDMIRRORアクションがある場合は、ミラーポートとして設定されているポートからパケットのコピーを出力します。仕様により、すべてのパケットがVLANタグ付きでミラーポートから出力されます。
      
      

      Note - SENDMIRRORアクションによってミラーされたパケットには、SETTOS、SETIPDSCP、MOVEPRIOTOTOS、SETPRIORITY、MOVETOSTOPRIOアクションによるフィールド書き換えが反映されています。

      
      
   4. アクションリスト内に「破棄・通過系のアクション」（DENY、NODROP）があるか調べます。同系のアクションが複数あるときは、フィルター番号の最も大きなアクションだけを選択して実行します。したがって、以下の2つのうち、どれか1つだけが実行されることになります。
      
      
      • DENYアクションの場合は、パケットを破棄してフィルター処理を終了します。この場合、通常のポートからパケットが出力されることはありません（SENDEPORT、SENDCOSアクションがある場合でもパケットは出力されません）。ただし、ポートミラーリング機能が有効な場合は、ミラーポートからパケットのコピーが出力されます（SENDMIRRORアクションも有効です）。
        
        
      • NODROPアクションの場合は次のステップに進みます。
        
      
      
   5. アクションリスト内に「出力ポート変更系のアクション」（SENDEPORT、SENDNONUNICASTTOPORT）があるか調べます。
      
      
      • パケットがユニキャスト（ブロードキャスト、マルチキャスト、未学習のユニキャスト以外）で、アクションがSENDEPORTの場合は、パケットの出力先を、FDBを参照して決定された出力ポートではなく、PORTパラメーターで指定されたポートに変更します。
        
        
      • パケットが非ユニキャスト（ブロードキャスト、マルチキャスト、未学習のユニキャスト）で、アクションがSENDNONUNICASTTOPORTの場合は、パケットの出力先を、同一VLAN内の全ポートではなく、PORTパラメーターで指定されたポートだけに変更します。
        
      
      

      Note - SENDEPORT、SENDNONUNICASTTOPORTアクションを使う場合は、入力ポートと出力ポートが同じVLANになるよう設定に注意してください。

      
      
   6. アクションリスト内に「出力キューレベル変更系のアクション」（SENDCOS、MOVETOSTOPRIO）があるか調べます。同系のアクションが複数あるときは、フィルター番号の最も大きなアクションだけを選択して実行します。したがって、以下の2つのうち、どれか1つだけが実行されることになります。
      
      
      • SENDCOSアクションの場合は、ここまでの手順で確定した出力先ポートの送信キューにパケットを格納し（出力し）、フィルター処理を完了します。このとき、PRIORITYパラメーターで指定されたユーザープライオリティー値に対応するレベルの送信キューを使います。
        
        
      • MOVETOSTOPRIOアクションの場合は、ここまでの手順で確定した出力先ポートの送信キューにパケットを格納し（出力し）、フィルター処理を完了します。このとき、受信時のIP TOS優先度（precedence）フィールドの値に対応するレベルの送信キューを使います。
        
      
      

      Note - SENDCOSアクションでは、PRIORITYパラメーターを送信キュー選択のためだけに使います。出力するパケットにプライオリティー値をセットするわけではありません（セットするにはSETPRIORITYかMOVETOSTOPRIOアクションを使います）。

      
      
   7. アクションリスト内に「出力キューレベル変更系のアクション」（SENDCOS、MOVETOSTOPRIO）がない場合は、ここまでの手順で確定した出力先ポートの送信キューにパケットを格納します。このとき、パケット受信時の802.1pユーザープライオリティー値をもとに、どのレベルのキューに入れるかを決定します。
      

設定手順

1. フィルター（マッチ条件）の作成（ADD SWITCH L3FILTER MATCHコマンド）
   
2. フィルター番号の確認（SHOW SWITCH L3FILTERコマンド）
   
3. フィルターエントリーの追加（ADD SWITCH L3FILTER ENTRYコマンド）
   

フィルター（マッチ条件）の作成

表 1：MATCHパラメーターに指定できる項目

Ethernetヘッダー
MACDADDR	宛先MACアドレスフィールド
MACSADDR	送信元MACアドレスフィールド
TYPE	プロトコルタイプフィールド。他のヘッダー項目との併用は不可
IPヘッダー
TOS	TOSオクテットの優先度値（precedence）フィールド
IPDSCP	TOSオクテットのDSCP（DiffServ Code Point）フィールド
TTL	生存時間（TTL）フィールド
PROTOCOL	プロトコルフィールド
SIPADDR	始点IPアドレス（SCLASSも指定すること）
DIPADDR	終点IPアドレス（DCLASSも指定すること）
TCPヘッダー
TCPSPORT	始点ポート（PROTOCOLも指定すること）
TCPDPORT	終点ポート（PROTOCOLも指定すること）
TCPSYN	Synフラグ（PROTOCOLも指定すること。EMPORTにTRUEを指定しないこと）
TCPACK	Ackフラグ（PROTOCOLも指定すること。EMPORTにTRUEを指定しないこと）
TCPFIN	Finフラグ（PROTOCOLも指定すること。EMPORTにTRUEを指定しないこと）
UDPヘッダー
UDPSPORT	始点ポート（PROTOCOLも指定すること）
UDPDPORT	終点ポート（PROTOCOLも指定すること）

Note - EMPORTパラメーターにTRUEを指定した場合は、FDBに登録されていないMACアドレス（ブロードキャスト、マルチキャスト、未学習のユニキャスト）宛てのパケットがフィルタリング対象にならないという制限があります。TCP制御フラグによるフィルタリングを行う場合（マッチ条件にTCPSYN、TCPACK、TCPFINを指定する場合）、および、ブロードキャスト、マルチキャストパケットのフィルタリングを行う場合は、EMPORTにTRUEを指定しないでください。

Note - 複数のマッチ条件を指定したとき、マッチ条件の型が一致するような場合には、本製品のソフトウェアでマッチ条件が一つにまとめられる場合があります。同じパケットに対する処理でも、複数のマッチ条件がまとめられた場合と、一つ一つ実行された場合で、結果が異なることがあります。

フィルター番号の確認

Note - フィルター番号は、ADD SWITCH L3FILTER MATCHコマンド実行時にシステムが自動で割り当てます。この番号は可変なので、他のフィルターの削除によって変更される可能性があります。フィルター番号を指定するときは、必ずSHOW SWITCH L3FILTERコマンドで確認してから指定してください。

フィルターエントリーの追加

• フィルター番号
  
• フィルタリング条件
  
• マッチ時のアクション
  

フィルター番号の指定

Note - エントリー番号は、ADD SWITCH L3FILTER ENTRYコマンド実行時にシステムが自動で割り当てます。この番号は可変なので、他のエントリーの追加・削除によって変更される可能性があります。エントリー番号を指定するときは、必ずSHOW SWITCH L3FILTERコマンドにENTRYパラメーターを付けて実行し、希望するエントリーの番号を確認してから指定してください。

フィルタリング条件の指定

表 2：条件パラメーター（受信パケットのヘッダーその他とつきあわせるパラメーター）

入出力スイッチポート
IPORT	入力スイッチポート。指定ポートから入力されたパケットだけがマッチする
EPORT	出力スイッチポート。指定ポートから出力されるパケットだけがマッチする（ただし、若干の制限あり。詳細は後述）
Ethernetヘッダー
MACDADDR	宛先MACアドレス。ここで指定したアドレスに対して、ADD SWITCH L3FILTER MATCHコマンドのMACDADDRパラメーターで指定したマスクが適用される
MACSADDR	送信元MACアドレスフィールド。ここで指定したアドレスに対して、ADD SWITCH L3FILTER MATCHコマンドのMACSADDRパラメーターで指定したマスクが適用される
TYPE	Ethernetフレームのレイヤー3プロトコルタイプフィールド値（16進数）。ADD SWITCH L3FILTER MATCHコマンドのTYPEパラメーターで指定したフレームフォーマットにおける値を指定する。Ethernet Version 2と802.2 LLC（DSAP、SSAP）におけるプロトコルタイプは2バイト、SNAPのプロトコルタイプは5バイト長
IPヘッダー
TOS	TOS優先度値（TOSオクテットのprecedenceフィールド）。有効範囲は0〜7
IPDSCP	DSCP（DiffServ Code Point）フィールド値。有効範囲は0〜63
TTL	生存時間（TTL）フィールドの値。有効範囲は0〜255
PROTOCOL	IPの上位プロトコル。TCP、UDPなどのプロトコル名、または、IPプロトコル番号で指定する
SIPADDR	始点IPアドレス。パケットマッチング時には、ここで指定したアドレスに対して、ADD SWITCH L3FILTER MATCHコマンドのSCLASSパラメーターで指定したマスクが適用される
DIPADDR	終点IPアドレス。パケットマッチング時には、ここで指定したアドレスに対して、ADD SWITCH L3FILTER MATCHコマンドのDCLASSパラメーターで指定したマスクが適用される
TCPヘッダー
TCPSPORT	始点ポート番号またはサービス名
TCPDPORT	終点ポート番号またはサービス名
TCPSYN	Synフラグのオン（TRUE）、オフ（FALSE）。EPORTパラメーターと併用しないこと
TCPACK	Ackフラグのオン（TRUE）、オフ（FALSE）。EPORTパラメーターと併用しないこと
TCPFIN	Finフラグのオン（TRUE）、オフ（FALSE）。EPORTパラメーターと併用しないこと
UDPヘッダー
UDPSPORT	始点ポート番号またはサービス名
UDPDPORT	終点ポート番号またはサービス名

Note - ADD SWITCH L3FILTER MATCHコマンドでIMPORT=TRUEかEMPORT=TRUEを指定していながら、IPORT、EPORTパラメーターでポートの番号を指定していないと、フィルタリングが行われません。なお、ポートは一度に1つしか指定できないので、複数のポートでフィルタリングを有効にしたい場合は、ポートの数だけエントリーを作成してください。

Note - フィルタリング条件としてEPORT（出力スイッチポート）を指定した場合、FDBに登録されていないMACアドレス（ブロードキャスト、マルチキャスト、未学習のユニキャスト）宛てのパケットにはフィルターが適用されなくなります。したがって、TCP制御フラグによるフィルタリング（TCPSYN、TCPACK、TCPFINパラメーター）を行う場合、および、ブロードキャスト、マルチキャストパケットのフィルタリングを行う場合は、EPORTパラメーターを併用しないでください。

アクションの指定

表 3：ACTIONパラメーターに指定できるオプション

パケットの破棄・通過を制御するアクション（相互排他）
DENY	パケットを破棄する。マッチしたエントリーの中にDENYアクションが含まれている場合は、NODROPによって打ち消されない限り、通常のポートからパケットが出力されることはない（SENDEPORT、SENDCOSアクションがある場合でもパケットは出力されない）。ただし、ポートミラーリング機能が有効な場合は、ミラーポートからパケットのコピーが出力される（SENDMIRRORアクションも有効）
NODROP	DENYアクションを打ち消し、本来破棄されるべきパケットを出力する。おもに、デフォルト拒否の設定において、一部のパケットだけを許可したい場合に使う
出力ポートを変更するアクション
SENDEPORT	ユニキャストパケット（ここでは、ブロードキャスト、マルチキャスト、および、未学習のユニキャストを除くパケットのこと）の出力先をPORTパラメーターで指定されたポートに変更する。このとき、出力ポートと入力ポートが同じVLANでなくてはならないので、設定には注意すること
SENDNONUNICASTTOPORT	非ユニキャストパケット（ここでは、ブロードキャスト、マルチキャスト、および、未学習のユニキャストのこと）の出力先をPORTパラメーターで指定されたポートだけに変更する。このとき、出力ポートと入力ポートが同じVLANでなくてはならないので、設定には注意すること
出力キューを変更するアクション（相互排他）
SENDCOS	パケットをPRIORITYパラメーターで指定されたプライオリティーに対応するレベルの送信キューに入れる
MOVETOSTOPRIO	（受信時の）IPヘッダーのTOS優先度（precedence）フィールドの値を、VLANタグフレームの802.1pユーザープライオリティーフィールドにコピーする。また、コピー後のユーザープライオリティーに対応するレベルの送信キューにパケットを入れる
802.1pプライオリティーを書き換えるアクション（相互排他）
MOVETOSTOPRIO	（受信時の）IPヘッダーのTOS優先度（precedence）フィールドの値を、VLANタグフレームの802.1pユーザープライオリティーフィールドにコピーする。また、コピー後のユーザープライオリティーに対応するレベルの送信キューにパケットを入れる
SETPRIORITY	VLANタグフレームの802.1pユーザープライオリティーフィールドに、PRIORITYパラメーターで指定された値を書き込む。出力ポートがタグ付きの場合のみ有効。出力ポートがタグなしの場合はパケットにタグが付かないので、本アクションは意味を持たない
IP TOS/DSCPフィールドを書き換えるアクション（相互排他）
SETTOS	パケットのIP TOS優先度（precedence）フィールドに、NEWTOSパラメーターで指定された値を書き込む。TYPEパラメーターでIP以外のプロトコルを指定した場合は無効
MOVEPRIOTOTOS	（受信時の）VLANタグフレームの802.1pユーザープライオリティーフィールドの値を、IPヘッダーのTOS優先度（precedence）フィールドにコピーする
SETIPDSCP	IPヘッダーのDSCP（DiffServ Code Point）フィールドに、NEWIPDSCPパラメーターで指定された値を書き込む。TYPEパラメーターでIP以外のプロトコルを指定した場合は無効
その他のアクション
SENDMIRROR	パケットのコピーをミラーポートから出力する。あらかじめ、ミラーポートを指定し、ポートミラーリング機能を有効にしておく必要がある。パケットが複数のエントリーにマッチした場合、DENY、NODROP、SEND〜を除く他のアクションがすべて適用された状態でパケットがミラーされる。また、DENY対象のパケットであってもミラーされる

コマンド例

ADD SWITCH L3FILTER MATCH=MACSADDR ↓
ADD SWITCH L3FILTER=1 ENTRY MACSADDR=00-00-f4-33-22-11 ACTION=DENY ↓


ADD SWITCH L3FILTER MATCH=MACSADDR MACSADDR=ff-ff-ff-ff-ff-00 ↓
ADD SWITCH L3FILTER=1 ENTRY MACSADDR=00-00-f4-33-22-00 ACTION=DENY ↓


ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=C IMPORT=TRUE ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=1 ACTION=DENY ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=2 ACTION=DENY ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=3 ACTION=DENY ↓


ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.100 ACTION=DENY ↓


ADD SWITCH L3FILTER MATCH=PROTOCOL EMPORT=TRUE ↓
ADD SWITCH L3FILTER=1 ENTRY PROTOCOL=ICMP EPORT=2 ACTION=DENY ↓


ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=C ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 ACTION=DENY ↓
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ↓
ADD SWITCH L3FILTER=2 ENTRY SIPADDR=192.168.10.103 ACTION=NODROP ↓


ADD SWITCH L3FILTER MATCH=PROTOCOL,TCPDPORT ↓
ADD SWITCH L3FILTER=1 ENTRY PROTOCOL=TCP TCPDPORT=TELNET PRIORITY=7 ACTION=SENDCOS ↓


ADD SWITCH L3FILTER MATCH=DIPADDR,PROTOCOL,TCPDPORT DCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY DIPADDR=192.168.30.100 PROTOCOL=TCP TCPDPORT=TELNET ACTION=DENY ↓


ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.5 PRIORITY=4 ACTION=SETPRIORITY ↓


ADD SWITCH L3FILTER MATCH=TOS ↓
ADD SWITCH L3FILTER=1 ENTRY TOS=1 PRIORITY=4 ACTION=SETPRIORITY ↓


SET SWITCH MIRROR=1 ↓
ENABLE SWITCH MIRROR ↓
ADD SWITCH L3FILTER MATCH=DIPADDR DCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY DIPADDR=192.168.10.100 ACTION=SENDMIRROR ↓


ADD SWITCH L3FILTER MATCH=SIPADDR,PROTOCOL,TCPSYN,TCPACK SCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.100 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY ↓


ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR,PROTOCOL,TCPSYN,TCPACK SCLASS=C DCLASS=C ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 DIPADDR=192.168.20.0 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY ↓


ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.1.1 ACTION=SETTOS NEWTOS=1 ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.1.1 ACTION=SENDCOS PRIORITY=7 ↓


ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.1.1 ACTION=SETTOS,SENDCOS NEWTOS=1 PRIORITY=7 ↓


Manager > show switch l3filter Hardware based filtering.... Enabled Software filtering bypass .. Disabled Match Entry ................ 3 / 16 Entry Block 0 (Port1-8) .... 3 / 254 Entry Block 1 (Port9-16) ... 2 / 254 Entry Block 2 (Port17-24) .. 2 / 254 Filter ................. 1 Matched fields ......... sip Type ................... ETHII Source MAC addr. mask .. ff-ff-ff-ff-ff-ff Dest. MAC addr. mask ... ff-ff-ff-ff-ff-ff Source IP addr. mask ... 255.255.255.0 Dest. IP addr. mask .... 0.0.0.0 Ingress port mask ...... true Egress port mask ....... false Manager > show switch l3filter=1 entry Hardware based filtering.... Enabled Software filtering bypass .. Disabled Match Entry ................ 3 / 16 Entry Block 0 (Port1-8) .... 3 / 254 Entry Block 1 (Port9-16) ... 2 / 254 Entry Block 2 (Port17-24) .. 2 / 254 Filter ................. 1 Matched fields ......... sip Type ................... ETHII Source MAC addr. mask .. ff-ff-ff-ff-ff-ff Dest. MAC addr. mask ... ff-ff-ff-ff-ff-ff Source IP addr. mask ... 255.255.255.0 Dest. IP addr. mask .... 0.0.0.0 Ingress port mask ...... true Egress port mask ....... false Filter Entries: --------------------------------------------------------------------------- Entry ................ 1 Ingress Port ......... 1 Egress Port .......... None Source MAC Address ... 00-00-00-00-00-00 Source MAC Mask ...... ff-ff-ff-ff-ff-ff Dest MAC Address ..... 00-00-00-00-00-00 Dest MAC Mask ........ ff-ff-ff-ff-ff-ff Source Address ....... 192.168.10.0 Source Mask .......... 255.255.255.0 Dest Address ......... 0.0.0.0 Dest Mask ............ 0.0.0.0 Protocol ............. 0 TTL .................. 0 TOS .................. 0 IPDSCP ............... 0 Type ................. 0800(ETHII) Action ............... DENY ---------------------------------------------------------------------------

Manager > show switch l3filter=1 entry Hardware based filtering.... Enabled Software filtering bypass .. Disabled Filter ................. 1 Matched fields ......... type Type ................... ETHII Source MAC addr. mask .. ff-ff-ff-ff-ff-ff Dest. MAC addr. mask ... ff-ff-ff-ff-ff-ff Source IP addr. mask ... 0.0.0.0 Dest. IP addr. mask .... 0.0.0.0 Ingress port mask ...... false Egress port mask ....... false Filter Entries: --------------------------------------------------------------------------- Entry ................ 1 Ingress Port ......... None Egress Port .......... None Source MAC Address ... 00-00-00-00-00-00 Source MAC Mask ...... ff-ff-ff-ff-ff-ff Dest MAC Address ..... 00-00-00-00-00-00 Dest MAC Mask ........ ff-ff-ff-ff-ff-ff Source Address ....... 0.0.0.0 Source Mask .......... 0.0.0.0 Dest Address ......... 0.0.0.0 Dest Mask ............ 0.0.0.0 Protocol ............. 0 TTL .................. 0 TOS .................. 0 IPDSCP ............... 0 Type ................. 0017(ETHII) Action ............... DENY ---------------------------------------------------------------------------

DELETE SWITCH L3FILTER=1 ENTRY=1 ↓

Note - エントリー番号は可変です。エントリーを削除すると、後続のエントリー番号が1つずつ前にずれるので注意してください。コマンド中でエントリー番号を指定するときは、必ずSHOW SWITCH L3FILTERコマンドにENTRYパラメーターを付けて実行し、希望のエントリーの番号を確認してから指定してください。

DELETE SWITCH L3FILTER=1 ↓

Note - フィルター番号は可変です。フィルター（マッチ条件）を削除すると、後続のフィルター番号が1つずつ前にずれるので注意してください。コマンド中でフィルター番号を指定するときは、必ずSHOW SWITCH L3FILTERコマンドで希望するフィルターの番号を確認してから指定してください。

ENABLE SWITCH L3FILTER ↓

設定例

特定スイッチポートからのみUDP通信を許可

表 4

VLAN名（VID）	untaggedポート	taggedポート
default（1）	1-16	なし

• UDPトラフィックは原則として拒否する。
  
  
• ただし、ポート1からはUDP通信を許可する。
  

Note - ハードウェアパケットフィルターには「許可」のアクションがありません。そのため、ハードウェアパケットフィルターをトラフィック制限に使用する場合は、拒否するトラフィックのパターンを指定していくことになります。

• フィルターを作成しマッチ条件を指定します。ここではUDPトラフィックだけを対象とするため、IPプロトコルフィールド（PROTOCOL）を条件として指定します。また、入力ポート単位でフィルタリングを行うため「IMPORT=TRUE」も指定します。
  
  ADD SWITCH L3FILTER MATCH=PROTOCOL IMPORT=TRUE ↓
  
  
• 具体的な条件値とアクションを指定します。ここではプロトコルがUDPで、受信ポートが2か3のトラフィックを破棄するよう指定します。
  
  ADD SWITCH L3FILTER=1 ENTRY PROTOCOL=UDP IPORT=2 ACTION=DENY ↓
ADD SWITCH L3FILTER=1 ENTRY PROTOCOL=UDP IPORT=3 ACTION=DENY ↓

  
  
• ハードウェアパケットフィルターを有効にします。
  
  ENABLE SWITCH L3FILTER ↓

TCP片方向通信

表 5

VLAN名（VID）	untaggedポート	taggedポート	IPアドレス
default（1）	1〜16	なし	192.168.10.1

• TCPは192.168.10.100から192.168.10.10への通信（セッション開始）のみを許可。192.168.10.10から192.168.10.100への通信は拒否する。
  
  
• その他のプロトコルはすべて許可する。
  

Note - ハードウェアパケットフィルターには「許可」のアクションがありません。そのため、ハードウェアパケットフィルターをトラフィック制限に使用する場合は、拒否するトラフィックのパターンを指定していくことになります。

1. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
2. インターフェースにIPアドレスを設定します。
   
   ADD IP INT=vlan-default IP=192.168.10.1 MASK=255.255.255.0 ↓

   
   
3. ハードウェアパケットフィルターの設定を行います。
   
   
   • フィルターを作成しマッチ条件を指定します。ここではIPヘッダーの始点・終点IPアドレスとプロトコルフィールド、TCPヘッダーのSyn、Ackフラグを条件として指定します。サブネット単位でアドレスを指定するため、SCLASS、DCLASSにはC（クラスC＝24ビットマスク）を指定します。
     
     ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR,PROTOCOL,TCPACK,TCPSYN SCLASS=C DCLASS=C ↓
     
     
   • 具体的な条件値とアクションを指定します。ここでは192.168.10.10から192.168.10.100へのTCPセッション開始要求（Synパケット）を破棄するよう設定します。
     
     ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.10 DIPADDR=192.168.10.100 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY ↓
     
     
   • ハードウェアパケットフィルターを有効にします。
     
     ENABLE SWITCH L3FILTER ↓

Copyright (C) 2004-2010 アライドテレシスホールディングス株式会社

PN: J613-M0249-11 Rev.J