[index] CentreCOM 8724XL/8748XL コマンドリファレンス 2.7
カテゴリー:スイッチング / ハードウェアIPフィルター
ADD SWITCH L3FILTER MATCH={TOS|IPDSCP|TTL|PROTOCOL|SIPADDR|DIPADDR|TCPSPORT|TCPDPORT|TCPSYN|TCPACK|TCPFIN|TYPE|UDPSPORT|UDPDPORT}[,...] [SCLASS={A|B|C|HOST|1..32}] [DCLASS={A|B|C|HOST|1..32}] [IMPORT={TRUE|FALSE}] [EMPORT={TRUE|FALSE}] [TYPE={802|ETHII|SNAP}] [NOMATCHACTION={SETPRIORITY|SENDCOS|SETTOS|DENY|SENDEPORT|SENDMIRROR|MOVEPRIOTOTOS|MOVETOSTOPRIO|SENDNONUNICASTTOPORT|SETIPDSCP}[,...]] [NOMATCHDSCP=0..63] [NOMATCHPORT=port-number] [NOMATCHPRIORITY=0..7] [NOMATCHTOS=0..7]
port-number: スイッチポート番号(1〜)
ハードウェアIPフィルター(L3フィルター)を作成する。
このコマンドでは、どのパケットフィールドをフィルタリング条件(マッチ条件)として使用するかを指定する。実際のフィルタリング条件(フィルターエントリー)はADD SWITCH L3FILTER ENTRYコマンドで指定する。フィルター(マッチ条件)はシステム全体で14個まで(IGMP SnoopingとMLD Snooping無効時は15個)、フィルターエントリーはシステム全体で124個まで設定可能。
フィルター番号はコマンド実行時にシステムが自動で割り当てる。この番号は可変なので、他のフィルターの削除により変更される可能性がある。他のコマンドでフィルター番号を指定するときは、必ずSHOW SWITCH L3FILTERコマンドで確認してから指定すること。
| パラメーター |
MATCH: フィルタリング条件として使用するパケットフィールドを指定する。カンマ区切りで複数指定が可能。詳細は別表を参照。
SCLASS: SIPADDR(始点IPアドレス)のパケットマッチング時に適用するネットマスク。A、B、CはそれぞれクラスA(8ビット)、B(16ビット)、C(24ビット)の標準マスク。HOSTは単一アドレスを示す32ビットマスク。あるいは、1〜32の任意長のマスクを指定できる。
DCLASS: DIPADDR(終点IPアドレス)のパケットマッチング時に適用するネットマスク。A、B、CはそれぞれクラスA(8ビット)、B(16ビット)、C(24ビット)の標準マスク。HOSTは単一アドレスを示す32ビットマスク。あるいは、1〜32の任意長のマスクを指定できる。
IMPORT: 特定のスイッチポートから入力されたパケットだけをフィルタリングの対象にしたい場合にTRUEを指定する。具体的なポート番号はADD SWITCH L3FILTER ENTRYコマンドのIPORTパラメーターで指定する(指定ポートから入力されたパケットだけがフィルタリングの対象となる)。FALSEのときはすべてのポートでフィルタリングが行われる。デフォルトはFALSE。
EMPORT: 特定のスイッチポートから出力されるパケットだけをフィルタリングの対象にしたい場合にTRUEを指定する。具体的なポート番号はADD SWITCH L3FILTER ENTRYコマンドのEPORTパラメーターで指定する(指定ポートから出力されるパケットだけがフィルタリングの対象となる。ただし、本パラメーターにTRUEを指定した場合は、FDBかL3テーブルに登録されていないMACアドレス宛てのパケットがフィルタリング対象にならないという制限がある。詳細はADD SWITCH L3FILTER ENTRYコマンドのEPORTパラメーターの説明を参照)。FALSEのときはすべてのポートでフィルタリングが行われる。デフォルトはFALSE。
TYPE: フィルタリング条件としてTYPE(L3プロトコルタイプ)を指定した場合に、フレームフォーマット(エンキャプセレーション)を指定する。802(802.2 LLC)、ETHII(Ethernet Version 2)、SNAP(802.2 LLC + SNAP)から選択する。ADD SWITCH L3FILTER ENTRYコマンドのTYPEパラメーターには、ここで指定したフレームフォーマットのプロトコル番号を指定する。
NOMATCHACTION: フィルター内のどのエントリーにもマッチしなかったパケットに対するデフォルトのアクション。カンマ区切りで複数のアクションを指定できる。アクションの詳細については、ADD SWITCH L3FILTER ENTRYコマンドの表を参照のこと(ただし、NODROPアクションは指定できない。また、アクションパラメーターのNEWIPDSC、PORT、PRIORITY、NEWTOSは、それぞれNOMATCHDSCP、NOMATCHPORT、NOMATCHPRIORITY、NOMATCHTOSとなる)。省略時はSENDCOS。
NOMATCHDSCP: (どのエントリーにもマッチしなかったパケットに対するアクションパラメーター)パケット送信時にIPヘッダーのDSCPフィールドにセットする値。NOMATCHACTIONにSETIPDSCPを指定した場合のみ有効。
NOMATCHPORT: (どのエントリーにもマッチしなかったパケットに対するアクションパラメーター)対象パケットを出力するスイッチポート。NOMATCHACTIONパラメーターにSENDEPORTかSENDNONUNICASTTOPORTを指定したときのみ有効。このとき、本パラメーターで指定するポート(出力ポート)と入力ポートが同一VLANになるよう注意すること。さらに、8748XLでは、入力ポートと本パラメーターで指定する出力ポートが、同一ポートグループ「1〜24、49」または「25〜48、50」に入っていなくてはならないので注意。
NOMATCHPRIORITY: (どのエントリーにもマッチしなかったパケットに対するアクションパラメーター)対象パケットに適用する802.1pユーザープライオリティー(0〜7)値。NOMATCHACTIONパラメーターにSETPRIORITYかSENDCOSを指定したときのみ有効。NOMATCHACTIONにSETPRIORITYを指定したときは、パケットのユーザープライオリティーフィールドにNOMATCHPRIORITYパラメーターで指定した値を書き込んで送出する(出力スイッチポートがタグ付きでないと意味を持たない)。NOMATCHACTIONにSENDCOSを指定したときは、パケットをNOMATCHPRIORITYパラメーターで指定したユーザープライオリティーに対応する送信キューに入れる。省略時は0。
NOMATCHTOS: (どのエントリーにもマッチしなかったパケットに対するアクションパラメーター)パケット送信時にIPヘッダーのTOS優先度フィールドにセットする値。NOMATCHACTIONにSETTOSを指定した場合のみ有効。
| TOS | IPヘッダーのTOSオクテットの優先度(precedence)フィールド。IPDSCPとは同時に指定できない |
| IPDSCP | IPヘッダーのDSCP(DiffServ Code Point)フィールド。IPTOSとは同時に指定できない |
| TTL | IPヘッダーのTTL(生存時間)フィールド |
| PROTOCOL | IPヘッダーのプロトコルフィールド |
| SIPADDR | IPヘッダーの始点IPアドレス。本オプションを指定するときは、SCLASSパラメーターの指定も必要。 |
| DIPADDR | IPヘッダーの終点IPアドレス。本オプションを指定するときは、DCLASSパラメーターの指定も必要。 |
| TCPSPORT | TCPヘッダーの始点ポート。本オプションを指定するときはPROTOCOLの指定も必要。 |
| TCPDPORT | TCPヘッダーの終点ポート。本オプションを指定するときはPROTOCOLの指定も必要。 |
| TCPSYN | TCPヘッダーの制御フラグ「Syn」。本オプションを指定するときはPROTOCOLの指定も必要。また、EMPORTにTRUEを指定しないこと。 |
| TCPACK | TCPヘッダーの制御フラグ「Ack」。本オプションを指定するときはPROTOCOLの指定も必要。また、EMPORTにTRUEを指定しないこと。 |
| TCPFIN | TCPヘッダーの制御フラグ「Fin」。本オプションを指定するときはPROTOCOLの指定も必要。また、EMPORTにTRUEを指定しないこと。 |
| TYPE | EthernetフレームのL3プロトコルタイプフィールド。本オプションを指定するときは、TYPEパラメーターでフレームフォーマットも指定する必要がある。他のオプションと併用はできない。 |
| UDPSPORT | UDPヘッダーの始点ポート。本オプションを指定するときはPROTOCOLの指定も必要。 |
| UDPDPORT | UDPヘッダーの終点ポート。本オプションを指定するときはPROTOCOLの指定も必要。 |
| 例 |
■ ポート1〜3で受信した192.168.10.0/24からのIPパケットを破棄
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=C IMPORT=TRUE■ 192.168.10.100からのTCPコネクション確立要求を拒否(片方向のみ拒否。他のホストから192.168.10.100へはコネクションを張れる)
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=1 ACTION=DENY
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=2 ACTION=DENY
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.0 IPORT=3 ACTION=DENY
ADD SWITCH L3FILTER MATCH=SIPADDR,PROTOCOL,TCPSYN,TCPACK SCLASS=HOST■ 192.168.10.5からのパケットの802.1pユーザープライオリティーフィールドに4をセットして送信
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.100 PROTOCOL=TCP TCPSYN=TRUE TCPACK=FALSE ACTION=DENY
ADD SWITCH L3FILTER MATCH=SIPADDR SCLASS=HOST■ NetBEUIパケットをすべて破棄する。
ADD SWITCH L3FILTER=1 ENTRY SIPADDR=192.168.10.5 PRIORITY=4 ACTION=SETPRIORITY
ADD SWITCH L3FILTER MATCH=TYPE TYPE=802
ADD SWITCH L3FILTER=1 ENTRY TYPE=F0F0 ACTION=DENY
| 関連コマンド |
ADD SWITCH L3FILTER ENTRY
DELETE SWITCH L3FILTER
SET SWITCH L3FILTER MATCH
SHOW SWITCH L3FILTER
(C) 2002 - 2006 アライドテレシスホールディングス株式会社
PN: J613-M6920-01 Rev.G