[index] CentreCOM 9600/8600シリーズ コマンドリファレンス 2.2
対象機種:8624、9606
- 基本動作 - フィルターの構成 - フィルター処理の流れ - 設定手順 - コマンド例 - 設定例 - 特定スイッチポートからのみ外部へのUDP通信を許可 - TCP片方向通信 - 「マルチプルVLAN」的構成例 - IPベースのQoS - ハードウェアIPフィルターによるポートミラーリング
ハードウェアIPフィルターは、ハードウェア(ASIC)レベルでIPトラフィックのフィルタリングを行う機能です。
Note - ハードウェアIPフィルターとソフトウェアIPフィルター、ハードウェアIPフィルターとファイアウォールを同時に使用することはできません。
| 基本動作 |
| フィルターの構成 |
Note - IGMPを有効にすると、IGMP用にハードウェアIPフィルターのエントリーが2つ作成されます。そのため、ユーザーの使用できるフィルターエントリーが2つ少なくなります(127個から125個になる)。また、マッチ条件も1つ減って7個になります。
| フィルター処理の流れ |
Note - 以下の説明は、設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。あらかじめご了承ください。
Note - ここで書き込んだTOS優先度値が、フィルターエントリーの検索に影響することはありません(アクションリストの検証に入った時点で、すでにエントリーの検索が完了しているため)。フィルターエントリー検索時には、パケット受信時のTOS優先度値が使われます。
Note - SENDEPORTアクションを使う場合は、入力ポートと出力ポートが同じVLANになるよう設定に注意してください。
Note - SENDCOSアクションでは、PRIORITYパラメーターを送信キュー選択のためだけに使います。出力するパケットにプライオリティー値をセットするわけではありません(セットするにはSETPRIORITYアクションを使います)。
| 設定手順 |
ADD SWITCH L3FILTER MATCH=criteria-list [SCLASS={A|B|C|HOST|1..32}] [DCLASS={A|B|C|HOST|1..32}] [IMPORT={TRUE|FALSE}] [EMPORT={TRUE|FALSE}] ↓
| TOS | TOSオクテットの優先度値(precedence)フィールド |
| TTL | 生存時間(TTL)フィールド |
| PROTOCOL | プロトコルフィールド |
| SIPADDR | 始点IPアドレス(SCLASSも指定すること) |
| DIPADDR | 終点IPアドレス(DCLASSも指定すること) |
| TCPSPORT | 始点ポート(PROTOCOLも指定すること) |
| TCPDPORT | 終点ポート(PROTOCOLも指定すること) |
| TCPSYN | Synフラグ(PROTOCOLも指定すること。EMPORTにTRUEを指定しないこと) |
| TCPACK | Ackフラグ(PROTOCOLも指定すること。EMPORTにTRUEを指定しないこと) |
| TCPFIN | Finフラグ(PROTOCOLも指定すること。EMPORTにTRUEを指定しないこと) |
| UDPSPORT | 始点ポート(PROTOCOLも指定すること) |
| UDPDPORT | 終点ポート(PROTOCOLも指定すること) |
Note - EMPORTパラメーターにTRUEを指定した場合は、FDB、L3テーブルのどちらにも登録されていないMACアドレス(ブロードキャスト、マルチキャスト、未学習のユニキャスト)宛てのパケットがフィルタリング対象にならないという制限があります。TCP制御フラグによるフィルタリングを行う場合(マッチ条件にTCPSYN、TCPACK、TCPFINを指定する場合)、および、ブロードキャスト、マルチキャストパケットのフィルタリングを行う場合は、EMPORTにTRUEを指定しないでください。
Note - フィルター番号は、ADD SWITCH L3FILTER MATCHコマンド実行時にシステムが自動で割り当てます。この番号は可変なので、他のフィルターの削除によって変更される可能性があります。フィルター番号を指定するときは、必ずSHOW SWITCH L3FILTERコマンドで確認してから指定してください。
Note - エントリー番号は、ADD SWITCH L3FILTER ENTRYコマンド実行時にシステムが自動で割り当てます。この番号は可変なので、他のエントリーの追加・削除によって変更される可能性があります。エントリー番号を指定するときは、必ずSHOW SWITCH L3FILTERコマンドにENTRYパラメーターを付けて実行し、希望するエントリーの番号を確認してから指定してください。
ADD SWITCH L3FILTER=n ENTRY [TOS=0..7] [TTL=0..255] [PROTOCOL={TCP|UDP|ICMP|IGMP|protocol}] [SIPADDR=ipadd] [DIPADDR=ipadd] [TCPSPORT={port|port-name}] [TCPDPORT={port|port-name}] [TCPSYN={TRUE|FALSE}] [TCPACK={TRUE|FALSE}] [TCPFIN={TRUE|FALSE}] [UDPSPORT={port|port-name}] [UDPDPORT={port|port-name}] [IPORT=port-number] [EPORT=port-number] [PRIORITY=0..7] [PORT=port-number] [NEWTOS=0..7] [ACTION={SETPRIORITY|SENDCOS|SETTOS|DENY|SENDEPORT|SENDMIRROR}[,...]] ↓
| IPORT | 入力スイッチポート。指定ポートから入力されたパケットだけがマッチする |
| EPORT | 出力スイッチポート。指定ポートから出力されるパケットだけがマッチする(ただし、若干の制限あり。詳細は後述) |
| TOS | TOS優先度値(TOSオクテットのprecedenceフィールド)。有効範囲は0〜7。 |
| TTL | 生存時間(TTL)フィールドの値。有効範囲は0〜255。 |
| PROTOCOL | IPの上位プロトコル。TCP、UDPなどのプロトコル名、または、IPプロトコル番号で指定する。 |
| SIPADDR | 始点IPアドレス。パケットマッチング時には、ここで指定したアドレスに対して、ADD SWITCH L3FILTER MATCHコマンドのSCLASSパラメーターで指定したマスクが適用される。 |
| DIPADDR | 終点IPアドレス。パケットマッチング時には、ここで指定したアドレスに対して、ADD SWITCH L3FILTER MATCHコマンドのDCLASSパラメーターで指定したマスクが適用される。 |
| TCPSPORT | 始点ポート番号またはサービス名 |
| TCPDPORT | 終点ポート番号またはサービス名 |
| TCPSYN | Synフラグのオン(TRUE)、オフ(FALSE)。EPORTパラメーターと併用しないこと |
| TCPACK | Ackフラグのオン(TRUE)、オフ(FALSE)。EPORTパラメーターと併用しないこと |
| TCPFIN | Finフラグのオン(TRUE)、オフ(FALSE)。EPORTパラメーターと併用しないこと |
| UDPSPORT | 始点ポート番号またはサービス名 |
| UDPDPORT | 終点ポート番号またはサービス名 |
Note - ADD SWITCH L3FILTER MATCHコマンドでIMPORT=TRUEかEMPORT=TRUEを指定していながら、IPORT、EPORTパラメーターでポートの番号を指定していないと、フィルタリングが行われません。なお、ポートは一度に1つしか指定できないので、複数のポートでフィルタリングを有効にしたい場合は、ポートの数だけエントリーを作成してください。
Note - フィルタリング条件としてEPORT(出力スイッチポート)を指定した場合、FDB、L3テーブルのどちらにも登録されていないMACアドレス(ブロードキャスト、マルチキャスト、未学習のユニキャスト)宛てのパケットにはフィルターが適用されなくなります。したがって、TCP制御フラグによるフィルタリング(TCPSYN、TCPACK、TCPFINパラメーター)を行う場合、および、ブロードキャスト、マルチキャストパケットのフィルタリングを行う場合は、EPORTパラメーターを併用しないでください。
| TCPSYN=TRUE TCPACK=FALSE | Synフラグがセットされており、Ackフラグがセットされていない場合にマッチします(Synパケット)。TCPコネクションを開始しようとする側(アクティブオープン側)が送るセグメントです。 |
| TCPSYN=TRUE TCPACK=TRUE | SynフラグとAckフラグが両方ともセットされている場合にマッチします(Syn+Ackパケット)。TCPコネクションを受け入れる側(パッシブオープン側)が送るセグメントです。 |
| DENY | パケットを破棄します。もっとも効力の強いアクションであり、マッチしたエントリーの中にDENYアクションが含まれている場合は、通常のポートからパケットが出力されることはありません(SENDEPORT、SENDCOSアクションがある場合でもパケットは出力されません)。ただし、ポートミラーリング機能が有効な場合は、ミラーポートからパケットのコピーが出力されます(SENDMIRRORアクションも有効です)。 |
| SETTOS | IPヘッダーのTOS優先度フィールド(TOSオクテットのprecedenceフィールド)に、NEWTOSパラメーターで指定された値(0〜7)を書き込みます。 |
| SETPRIORITY | VLANタグフレームの802.1pユーザープライオリティーフィールドに、PRIORITYパラメーターで指定された値(0〜7)を書き込みます。ただし、出力ポートがタグ付きの場合のみ有効です。出力ポートがタグなしの場合は、パケットにタグが付かないので本アクションは意味を持ちません。 |
| SENDMIRROR | パケットのコピーをミラーポートとして設定されているポートから出力します。仕様により、すべてのパケットがタグ付きでミラーポートから出力されます。あらかじめミラーポートを指定し、ポートミラーリング機能を有効にしておく必要があります。 |
| SENDEPORT | パケットの出力先をPORTパラメーターで指定されたポートに変更します。このとき、出力ポートと入力ポートが同じVLANになるよう設定してください。 |
| SENDCOS | パケットをPRIORITYパラメーターで指定されたユーザープライオリティー(0〜7)に対応する送信キューに入れます。プライオリティーとキューのマッピングはSET SWITCH QOSコマンドで変更できます。PRIORITYパラメーターの値は、送信キューを決定するためにだけ使われるもので、パケットのユーザープライオリティーフィールドを書きかえるわけではありません。 |
ENABLE SWITCH L3FILTER ↓
| コマンド例 |
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=C IMPORT=TRUE ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=1 ACTION=DENY ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=2 ACTION=DENY ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=3 ACTION=DENY ↓
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.100 ACTION=DENY ↓
ADD SWITCH L3FILTER MATCH=PROTOCOL EMPORT=TRUE ↓
ADD SWITCH L3FILTER=1 ENTRY PROTOCOL=ICMP EPORT=2 ACTION=DENY ↓
ADD SWITCH L3FILTER MATCH=PROTOCOL,TCPDPORT ↓
ADD SWITCH L3FILTER=1 ENTRY PROTOCOL=TCP TCPDPORT=TELNET PRIORITY=7 ACTION=SENDCOS ↓
ADD SWITCH L3FILTER MATCH=DIPADDR,PROTOCOL,TCPDPORT DCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY DIPADDR=192.168.30.100 PROTOCOL=TCP TCPDPORT=TELNET ACTION=DENY ↓
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.5 PRIORITY=4 ACTION=SETPRIORITY ↓
ADD SWITCH L3FILTER MATCH=TOS ↓
ADD SWITCH L3FILTER=1 ENTRY TOS=1 PRIORITY=4 ACTION=SETPRIORITY ↓
SET SWITCH MIRROR=1 ↓
ENABLE SWITCH MIRROR ↓
ADD SWITCH L3FILTER MATCH=DIPADDR DCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY DIPADDR=192.168.10.100 ACTION=SENDMIRROR ↓
ADD SWITCH L3FILTER MATCH=SIPADDR,PROTOCOL,TCPSYN,TCPACK SCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.100 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY ↓
ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR,PROTOCOL,TCPSYN,TCPACK SCLASS=C DCLASS=C ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 DIPADDR=192.168.20.0 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY ↓
ADD SWITCH L3FILTER MATCH=SIPADDR,PROTOCOL,TCPSYN,TCPACK SCLASS=C ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY ↓
Note - ハードウェアIPフィルターでは「拒否」のアクションが最優先されるため、デフォルト拒否に設定した上で、特定のホストにのみ通信を許可する設定が簡単にはできません。たとえば、「サブネット192.168.10.0/24から外部への通信は原則として禁止するが、192.168.10.80だけは特例として通信を認める」といった設定は非常に困難です。
ENABLE SWITCH L3FILTER ↓
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.1.1 ACTION=SETTOS NEWTOS=1 ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.1.1 ACTION=SENDCOS PRIORITY=7 ↓
ENABLE SWITCH L3FILTER ↓
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.1.1 ACTION=SETTOS,SENDCOS NEWTOS=1 PRIORITY=7 ↓
Manager > SHOW SWITCH L3FILTER Hardware based filtering.... Enabled Software filtering bypass .. Disabled Filter ............... 1 Matched fields ....... prot Type ................. ETH-II Source address mask .. 0.0.0.0 Dest. address mask ... 0.0.0.0 Ingress port mask .... true Egress port mask ..... false |
Manager > SHOW SWITCH L3FILTER=1 ENTRY
Hardware based filtering.... Enabled
Software filtering bypass .. Disabled
Filter ............... 1
Matched fields ....... prot
Type ................. ETH-II
Source address mask .. 0.0.0.0
Dest. address mask ... 0.0.0.0
Ingress port mask .... true
Egress port mask ..... false
Ent. S-Address D-Address Prot TTL TOS NewTOS Priority
S-Mask D-Mask Iport Eport Port Syn/Ack/Fin
S-Port D-Port Action
--------------------------------------------------------------------------------
1 0.0.0.0 0.0.0.0 17 0 0 0 0
0.0.0.0 0.0.0.0 2 - - 0/0/0
0 0 dn
--------------------------------------------------------------------------------
2 0.0.0.0 0.0.0.0 17 0 0 0 0
0.0.0.0 0.0.0.0 3 - - 0/0/0
0 0 dn
--------------------------------------------------------------------------------
|
DELETE SWITCH L3FILTER=1 ENTRY=1 ↓
Note - エントリー番号は可変です。エントリーを削除すると、後続のエントリー番号が1つずつ前にずれるので注意してください。コマンド中でエントリー番号を指定するときは、必ずSHOW SWITCH L3FILTERコマンドにENTRYパラメーターを付けて実行し、希望のエントリーの番号を確認してから指定してください。
DELETE SWITCH L3FILTER=1 ↓
Note - フィルター番号は可変です。フィルター(マッチ条件)を削除すると、後続のフィルター番号が1つずつ前にずれるので注意してください。コマンド中でフィルター番号を指定するときは、必ずSHOW SWITCH L3FILTERコマンドで希望するフィルターの番号を確認してから指定してください。
| 設定例 |
| 特定スイッチポートからのみ外部へのUDP通信を許可 |
| white(10) | 24 | なし | 192.168.10.1 |
| orange(20) | 1〜3 | なし | 192.168.20.1 |
Note - ハードウェアIPフィルターには「許可」のアクションがありません。そのため、ハードウェアIPフィルターをトラフィック制限に使用する場合は、拒否するトラフィックのパターンを指定していくことになります。
CREATE VLAN=white VID=10 ↓
CREATE VLAN=orange VID=20 ↓
ADD VLAN=white PORT=24 ↓
ADD VLAN=orange PORT=1-3 ↓
ENABLE IP ↓
ADD IP INT=vlan-white IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=vlan-orange IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=vlan-white NEXTHOP=192.168.10.32 ↓
ADD SWITCH L3FILTER MATCH=PROTOCOL IMPORT=TRUE ↓
ADD SWITCH L3FILTER=1 ENTRY PROTOCOL=UDP IPORT=2 ACTION=DENY ↓
ADD SWITCH L3FILTER=1 ENTRY PROTOCOL=UDP IPORT=3 ACTION=DENY ↓
ENABLE SWITCH L3FILTER ↓
| TCP片方向通信 |
| white(10) | 1〜12 | なし | 192.168.10.1 |
| orange(20) | 13〜24 | なし | 192.168.20.1 |
Note - ハードウェアIPフィルターには「許可」のアクションがありません。そのため、ハードウェアIPフィルターをトラフィック制限に使用する場合は、拒否するトラフィックのパターンを指定していくことになります。
CREATE VLAN=white VID=10 ↓
CREATE VLAN=orange VID=20 ↓
ADD VLAN=white PORT=1-12 ↓
ADD VLAN=orange PORT=13-24 ↓
ENABLE IP ↓
ADD IP INT=vlan-white IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=vlan-orange IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR,PROTOCOL,TCPACK,TCPSYN SCLASS=C DCLASS=C ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 DIPADDR=192.168.20.0 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY ↓
ENABLE SWITCH L3FILTER ↓
| 「マルチプルVLAN」的構成例 |
| p1(10) | 1 | なし | 192.168.10.1/24 |
| p2(20) | 2 | なし | 192.168.20.1/24 |
| p3(30) | 3 | なし | 192.168.30.1/24 |
| common(240) | 24 | なし | 172.16.10.1/24 |
CREATE VLAN=p1 VID=10 ↓
CREATE VLAN=p2 VID=20 ↓
CREATE VLAN=p3 VID=30 ↓
CREATE VLAN=common VID=240 ↓
ADD VLAN=p1 PORT=1 ↓
ADD VLAN=p2 PORT=2 ↓
ADD VLAN=p3 PORT=3 ↓
ADD VLAN=common PORT=24 ↓
ENABLE IP ↓
ADD IP INT=vlan-p1 IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=vlan-p2 IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD IP INT=vlan-p3 IP=192.168.30.1 MASK=255.255.255.0 ↓
ADD IP INT=vlan-common IP=172.16.10.1 MASK=255.255.255.0 ↓
ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR SCLASS=B DCLASS=B ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.0.0 DIPADDR=192.168.0.0 ACTION=DENY ↓
ENABLE SWITCH L3FILTER ↓
DISABLE TELNET SERVER ↓
| IPベースのQoS |
| white(10) | 1〜12 | なし | 192.168.10.1 |
| orange(20) | 13〜24 | なし | 192.168.20.1 |
CREATE VLAN=white VID=10 ↓
CREATE VLAN=orange VID=20 ↓
ADD VLAN=white PORT=1-12 ↓
ADD VLAN=orange PORT=13-24 ↓
ENABLE IP ↓
ADD IP INT=vlan-white IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=vlan-orange IP=192.168.20.1 MASK=255.255.255.0 ↓
ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR SCLASS=HOST DCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.5 DIPADDR=192.168.20.100 ACTION=SENDCOS PRIORITY=7 ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.20.100 DIPADDR=192.168.10.5 ACTION=SENDCOS PRIORITY=7 ↓
ENABLE SWITCH L3FILTER ↓
| ハードウェアIPフィルターによるポートミラーリング |
| white(10) | 2〜12 | なし | 192.168.10.1 |
| orange(20) | 13〜24 | なし | 192.168.20.1 |
CREATE VLAN=white VID=10 ↓
CREATE VLAN=orange VID=20 ↓
ADD VLAN=white PORT=2-12 ↓
ADD VLAN=orange PORT=13-24 ↓
ENABLE IP ↓
ADD IP INT=vlan-white IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=vlan-orange IP=192.168.20.1 MASK=255.255.255.0 ↓
SET SWITCH MIRROR=1 ↓
Note - このときポート1がVLAN default以外に所属しているとエラーになります。その場合は、DELETE VLAN PORTコマンドでポートを現在所属中のVLANから削除した上で、本コマンドを実行してください。
ENABLE SWITCH MIRROR ↓
ADD SWITCH L3FILTER MATCH=SIPADDR,DIPADDR SCLASS=HOST DCLASS=HOST ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.5 DIPADDR=192.168.20.100 ACTION=SENDMIRROR ↓
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.20.100 DIPADDR=192.168.10.5 ACTION=SENDMIRROR ↓
ENABLE SWITCH L3FILTER ↓
Copyright (C) 2000-2002 アライドテレシス株式会社
PN: J613-M0522-00 Rev.C