[index] CentreCOM 8316XL/8324XL コマンドリファレンス 2.7

ADD SWITCH L3FILTER ENTRY

カテゴリー：ハードウェアパケットフィルター / 一般コマンド

ADD SWITCH L3FILTER=filter-id ENTRY [IPORT=port-number] [EPORT=port-number] [TYPE=protocoltype] [MACDADDR=macadd] [MACSADDR=macadd] [TOS=0..7] [IPDSCP=0..63] [TTL=0..255] [PROTOCOL={TCP|UDP|ICMP|IGMP|protocol}] [SIPADDR=ipadd] [DIPADDR=ipadd] [TCPSPORT={port|port-name}] [TCPDPORT={port|port-name}] [TCPSYN={TRUE|FALSE}] [TCPACK={TRUE|FALSE}] [TCPFIN={TRUE|FALSE}] [UDPSPORT={port|port-name}] [UDPDPORT={port|port-name}] [ACTION={SETPRIORITY|SENDCOS|SETTOS|DENY|SENDEPORT|SENDMIRROR|MOVETOSTOPRIO|MOVEPRITOTOS|NODROP|SETIPDSCP|SENDNONUNICASTTOPORT|FORWARD}[,...]] [PRIORITY=0..7] [NEWTOS=0..7] [PORT=port-number] [NEWIPDSCP=0..63]

filter-id: フィルター番号（1～16）
protocol: IPプロトコル番号（0～255）
ipadd: IPアドレス
port: TCP/UDPポート番号（0～65535）
port-name: サービス名
protocoltype: L3プロトコル番号（16進数）
port-number: スイッチポート番号（1～）
macadd: MACアドレス（xx-xx-xx-xx-xx-xxの形式）

ハードウェアパケットフィルターにフィルターエントリーを追加する。

ADD SWITCH L3FILTER MATCHコマンドで指定したすべてのパケットフィールドに対して、フィルタリング条件を実際の値で指定し、マッチ時のアクション（複数可）を指定する。

エントリー番号はコマンド実行時にシステムが自動で割り当てる。この番号は可変なので、エントリーの追加や削除によって前後にずれる可能性がある。他のコマンドでエントリー番号を指定するときは、必ずSHOW SWITCH L3FILTERコマンドにENTRYパラメーターを付けて実行し、希望するエントリーであることを確認してから指定すること。

フィルターエントリーは、10/100Mポートで最大252個まで（IGMP SnoopingおよびMLD Snooping無効時は254個）、1000Mポートで最大124個まで（IGMP SnoopingおよびMLD Snooping無効時は126個）まで設定可能。なお、LDF検出機能を有効にした場合は、10/100Mポートおよび1000Mポートで1個エントリーを消費する。

パラメーター

L3FILTER: フィルター（マッチ条件）番号。この番号は可変なので、SHOW SWITCH L3FILTERコマンドで確認してから指定すること

IPORT: （フィルタリング条件）対象パケットの入力スイッチポート。指定ポートから入力されたパケットだけがフィルタリングの対象となる。ADD SWITCH L3FILTER MATCHコマンドでIMPORT=TRUEを指定した場合にのみ有効。

EPORT: （フィルタリング条件）対象パケットの出力スイッチポート。指定ポートから出力されるパケットだけがフィルタリングの対象となる。ADD SWITCH L3FILTER MATCHコマンドでEMPORT=TRUEを指定した場合にのみ有効。ただし、EPORTパラメーターを指定した場合は、FDBに登録されていないMACアドレス（ブロードキャスト、マルチキャスト、未学習のユニキャスト）宛てのパケットにはフィルターが適用されなくなるので注意すること。

TYPE: （フィルタリング条件）対象パケット（フレーム）のレイヤー3プロトコルタイプフィールド値（16進数）。本パラメーターを指定した場合、他のフィルタリング条件パラメーターは無効となる。また、ACTIONにSETTOSを指定することはできない。プロトコル番号は、ADD SWITCH L3FILTER MATCHコマンドのTYPEパラメーターで指定したフレームタイプにおけるものを指定すること。Ethernet Version 2と802.2 LLC(DSAP、SSAP）におけるプロトコルタイプは2バイト、SNAPのプロトコルタイプは5バイト長で指定する。

MACDADDR: （フィルタリング条件）対象パケットの宛先MACアドレス。パケットマッチング時には、ここで指定したアドレスに対してADD SWITCH L3FILTER MATCHコマンドのMACDADDRオプションで指定したマスクが適用される。

MACSADDR: （フィルタリング条件）対象パケットの送信元MACアドレス。パケットマッチング時には、ここで指定したアドレスに対してADD SWITCH L3FILTER MATCHコマンドのMACSADDRオプションで指定したマスクが適用される。

TOS: （フィルタリング条件）対象パケットのIP TOS優先度（TOSオクテットのprecedence）フィールド値。有効範囲は0～7。

IPDSCP: （フィルタリング条件）対象パケットのIP DSCP（DiffServ Code Point）フィールド値。有効範囲は0～63。

TTL: （フィルタリング条件）対象パケットのIP TTL（生存時間）フィールド値。有効範囲は0～255。

PROTOCOL: （フィルタリング条件）対象パケットのIPプロトコルフィールド値。TCP、UDP、CMP、IGMPについては名前でも指定できる。その他プロトコルの場合はIPプロトコル番号で指定する。

SIPADDR: （フィルタリング条件）対象パケットの始点IPアドレス。パケットマッチング時には、ここで指定したアドレスに対してADD SWITCH L3FILTER MATCHコマンドのSCLASSパラメーターで指定したマスクが適用される。

DIPADDR: （フィルタリング条件）対象パケットの終点IPアドレス。パケットマッチング時には、ここで指定したアドレスに対してADD SWITCH L3FILTER MATCHコマンドのDCLASSパラメーターで指定したマスクが適用される。

TCPSPORT: （フィルタリング条件）対象パケットのTCP始点ポート。ポート番号かサービス名で指定する。PROTOCOLパラメーターにTCPを指定したときのみ有効。

TCPDPORT: （フィルタリング条件）対象パケットのTCP終点ポート。ポート番号かサービス名で指定する。PROTOCOLパラメーターにTCPを指定したときのみ有効。

TCPSYN: （フィルタリング条件）対象パケットのTCP制御フラグ「Syn」の値（オン・オフ）。TRUEはフラグが立っていることを、FALSEはフラグが立っていないことを示す。PROTOCOLパラメーターにTCPを指定したときのみ有効。また、EPORTパラメーターとは併用しないこと。

TCPACK: （フィルタリング条件）対象パケットのTCP制御フラグ「Ack」の値（オン・オフ）。TRUE、YES、ONはフラグが立っていることを、FALSE、NO、OFFはフラグが立っていないことを示す。

TCPFIN: （フィルタリング条件）対象パケットのTCP制御フラグ「Fin」の値（オン・オフ）。TRUE、YES、ONはフラグが立っていることを、FALSE、NO、OFFはフラグが立っていないことを示す。

UDPSPORT: （フィルタリング条件）対象パケットのUDP始点ポート。ポート番号かサービス名で指定する。PROTOCOLオプションにUDPを指定したときのみ有効。

UDPDPORT: （フィルタリング条件）対象パケットのUDP終点ポート。ポート番号かサービス名で指定する。PROTOCOLオプションにUDPを指定したときのみ有効。

ACTION: パケットがフィルターの条件に一致したときのアクション。カンマ区切りで複数のアクションを指定可能。

PRIORITY: （アクションパラメーター）対象パケットに適用する802.1pユーザープライオリティー（0～7）値。ACTIONオプションにSETPRIORITYかSENDCOSを指定したときのみ有効。ACTION=SETPRIORITYのときは、パケットのユーザープライオリティーフィールドにPRIORITYオプションで指定した値を書き込んで送出する（出力スイッチポートがタグ付きでないと意味を持たない）。ACTION=SENDCOSのときは、パケットをPRIORITYオプションで指定したユーザープライオリティーに対応する送信キューに入れる。省略時は0。

NEWTOS: （アクションパラメーター）パケット送信時にIPヘッダーのTOS優先度フィールドにセットする値。ACTIONオプションにSETTOSを指定したときのみ有効。

PORT: （アクションパラメーター）対象パケットを出力するスイッチポート。ACTIONオプションにSENDEPORTかSENDNONUNICASTTOPORTを指定したときのみ有効。入力ポートと出力ポートが同一VLANになるよう注意すること。

NEWIPDSCP: （アクションパラメーター）パケット送信時にIPヘッダーのDSCP（DiffServ Code Point）フィールドにセットする値。ACTIONオプションにSETDSCPを指定したときのみ有効。

表 1：ACTIONパラメーターに指定できるオプション

SETPRIORITY VLANタグフレームの802.1pユーザープライオリティーフィールドに、PRIORITYパラメーターで指定された値を書き込む。出力ポートがタグ付きの場合のみ有効。出力ポートがタグなしの場合はパケットにタグが付かないので、本アクションは意味を持たない。

SENDCOS パケットをPRIORITYパラメーターで指定されたプライオリティーに対応するレベルの送信キューに入れる。

SETTOS パケットのIP TOS優先度（precedence）フィールドに、NEWTOSパラメーターで指定された値を書き込む。TYPEパラメーターでIP以外のプロトコルを指定した場合は無効。

DENY パケットを破棄する。もっとも効力の強いアクションであり、マッチしたエントリーの中にDENYアクションが含まれている場合は、通常のポートからパケットが出力されることはない（SENDEPORT、SENDCOSアクションがある場合でもパケットは出力されない）。ただし、ポートミラーリング機能が有効な場合は、ミラーポートからパケットのコピーが出力される（SENDMIRRORアクションも有効）。

SENDEPORT パケットの出力先をPORTパラメーターで指定されたポートに変更する。このとき、出力ポートと入力ポートが同じVLANでなくてはならないので、設定には注意すること。

SENDMIRROR パケットのコピーをミラーポートから出力する。あらかじめ、ミラーポートを指定し、ポートミラーリング機能を有効にしておく必要がある。

MOVETOSTOPRIO IPヘッダーのTOSオクテットの優先度フィールドを、VLANタグフレームの802.1pユーザープライオリティー値に置き換える。

MOVEPRIOTOTOS VLANタグフレームの802.1pユーザープライオリティーフィールドを、IPヘッダーのTOSオクテットの優先度値に置き換える。

NODROP DENYアクションを打ち消し、本来破棄されるべきパケットを出力する。おもに、デフォルト拒否の設定において、一部のパケットだけを許可したい場合に使う。

SETIPDSCP IPヘッダーのDSCP（DiffServ Code Point）フィールド値に、NEWIPDSCPオプションで指定された値を書き込む。

SENDNONUNICASTTOPORT Unknown、M/C、B/Cパケットなどの送出先を、PORTオプションで指定したスイッチポートからのみ出力する。

FORWARD パケットを転送する。

例

■ ポート1～3で受信した192.168.10.0/24からのIPパケットを破棄
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=C IMPORT=TRUE ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=1 ACTION=DENY ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=2 ACTION=DENY ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=3 ACTION=DENY■ 192.168.10.100からのTCPコネクション確立要求を拒否（片方向のみ拒否。他のホストから192.168.10.100へはコネクションを張れる）
ADD SWITCH L3FILTER MATCH=SIPADDR,PROTOCOL,TCPSYN,TCPACK SCLASS=HOST ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.100 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY■ 192.168.10.5からのパケットの802.1pユーザープライオリティーフィールドに4をセットして送信
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.5 PRIORITY=4 ACTION=SETPRIORITY

備考・注意事項

フィルタリング条件としてEPORT（出力スイッチポート）を指定した場合、FDBに登録されていないMACアドレス（ブロードキャスト、マルチキャスト、未学習のユニキャスト）宛てのパケットにはフィルターが適用されなくなる。したがって、TCP制御フラグによるフィルタリング（TCPSYN、TCPACK、TCPFINパラメーター）を行う場合、および、ブロードキャスト、マルチキャストパケットのフィルタリングを行う場合は、EPORTパラメーターを併用しないこと。

IGMP Snoopingを有効にすると、IGMP Snooping用にハードウェアパケットフィルターのエントリーが1つ作成され、ハードウェアパケットフィルター機能が有効化される。そのため、ユーザーが定義できるフィルターエントリーの数は1つ減少する。また、すでに最大数までフィルターエントリーを作成している場合は、IGMP Snoopingを有効にできない。その場合は、先にエントリーを削除し、IGMP Snooping用エントリーの空きを作る必要がある（DELETE SWITCH L3FILTER ENTRYコマンド）。IGMP Snooping用エントリーはユーザーには見えない。

MLD Snoopingを有効にすると、MLD Snooping用にハードウェアパケットフィルターのエントリーが1つ作成され、ハードウェアパケットフィルター機能が有効化される。そのため、ユーザーが定義できるフィルターエントリーの数は1つ減少する。また、すでに最大数までフィルターエントリーを作成している場合は、MLD Snoopingを有効にできない。その場合は、先にエントリーを削除し、MLD Snooping用エントリーの空きを作る必要がある（DELETE SWITCH L3FILTER ENTRYコマンド）。MLD Snooping用エントリーはユーザーには見えない。

PN: J613-M0249-11 Rev.J

SETPRIORITY	VLANタグフレームの802.1pユーザープライオリティーフィールドに、PRIORITYパラメーターで指定された値を書き込む。出力ポートがタグ付きの場合のみ有効。出力ポートがタグなしの場合はパケットにタグが付かないので、本アクションは意味を持たない。
SENDCOS	パケットをPRIORITYパラメーターで指定されたプライオリティーに対応するレベルの送信キューに入れる。
SETTOS	パケットのIP TOS優先度（precedence）フィールドに、NEWTOSパラメーターで指定された値を書き込む。TYPEパラメーターでIP以外のプロトコルを指定した場合は無効。
DENY	パケットを破棄する。もっとも効力の強いアクションであり、マッチしたエントリーの中にDENYアクションが含まれている場合は、通常のポートからパケットが出力されることはない（SENDEPORT、SENDCOSアクションがある場合でもパケットは出力されない）。ただし、ポートミラーリング機能が有効な場合は、ミラーポートからパケットのコピーが出力される（SENDMIRRORアクションも有効）。
SENDEPORT	パケットの出力先をPORTパラメーターで指定されたポートに変更する。このとき、出力ポートと入力ポートが同じVLANでなくてはならないので、設定には注意すること。
SENDMIRROR	パケットのコピーをミラーポートから出力する。あらかじめ、ミラーポートを指定し、ポートミラーリング機能を有効にしておく必要がある。
MOVETOSTOPRIO	IPヘッダーのTOSオクテットの優先度フィールドを、VLANタグフレームの802.1pユーザープライオリティー値に置き換える。
MOVEPRIOTOTOS	VLANタグフレームの802.1pユーザープライオリティーフィールドを、IPヘッダーのTOSオクテットの優先度値に置き換える。
NODROP	DENYアクションを打ち消し、本来破棄されるべきパケットを出力する。おもに、デフォルト拒否の設定において、一部のパケットだけを許可したい場合に使う。
SETIPDSCP	IPヘッダーのDSCP（DiffServ Code Point）フィールド値に、NEWIPDSCPオプションで指定された値を書き込む。
SENDNONUNICASTTOPORT	Unknown、M/C、B/Cパケットなどの送出先を、PORTオプションで指定したスイッチポートからのみ出力する。
FORWARD	パケットを転送する。