[index] CentreCOM 8724XL/8748XL コマンドリファレンス 2.7

SET SWITCH L3FILTER ENTRY

カテゴリー：スイッチング / ハードウェアIPフィルター

SET SWITCH L3FILTER=filter-id ENTRY=entry-id [TOS=0..7] [IPDSCP=0..63] [TTL=0..255] [PROTOCOL={TCP|UDP|ICMP|IGMP|protocol}] [SIPADDR=ipadd] [DIPADDR=ipadd] [TCPSPORT={port|port-name}] [TCPDPORT={port|port-name}] [TCPSYN={TRUE|FALSE}] [TCPACK={TRUE|FALSE}] [TCPFIN={TRUE|FALSE}] [TYPE=protocoltype] [UDPSPORT={port|port-name}] [UDPDPORT={port|port-name}] [IPORT=port-number] [EPORT=port-number] [PRIORITY=0..7] [PORT=port-number] [NEWTOS=0..7] [NEWIPDSCP=0..63] [ACTION={SETPRIORITY|SENDCOS|SETTOS|DENY|SENDEPORT|SENDMIRROR|MOVEPRIOTOTOS|MOVETOSTOPRIO|NODROP|SENDNONUNICASTTOPORT|SETIPDSCP}[,...]]

filter-id: フィルター番号（1～15）
entry-id: エントリー番号（1～124）
protocol: IPプロトコル番号（0～255）
ipadd: IPアドレス
port: TCP/UDPポート番号（0～65535）
port-name: サービス名
protocoltype: L3プロトコル番号（16進数）
port-number: スイッチポート番号（1～）

ハードウェアIPフィルターのフィルターエントリー（フィルタリング条件およびマッチ時のアクション）を変更する。

フィルタリングに使用するパケットフィールドの変更は、SET SWITCH L3FILTER MATCHコマンドで行う。

パラメーター

L3FILTER: フィルター番号。この番号は可変なので、必ずSHOW SWITCH L3FILTERコマンドで確認してから指定すること

ENTRY: エントリー番号。この番号は可変なので、必ずSHOW SWITCH L3FILTERコマンドにENTRYパラメーターを付けて実行し、希望のエントリーを確認してから指定すること

TOS: （フィルタリング条件）対象パケットのIP TOS優先度（TOSオクテットのprecedence）フィールド値。有効範囲は0～7。IPDSCPとは同時に指定できない。

IPDSCP: （フィルタリング条件）対象パケットのIP DSCP（DiffServ Code Point）フィールド値。有効範囲は0～63。TOSとは同時に指定できない。

TTL: （フィルタリング条件）対象パケットのIP TTL（生存時間）フィールド値。有効範囲は0～255。

PROTOCOL: （フィルタリング条件）対象パケットのIPプロトコルフィールド値。TCP、UDP、ICMP、IGMPについては名前でも指定できる。その他プロトコルの場合はIPプロトコル番号で指定する。

SIPADDR: （フィルタリング条件）対象パケットの始点IPアドレス。パケットマッチング時には、ここで指定したアドレスに対してADD SWITCH L3FILTER MATCHコマンドのSCLASSパラメーターで指定したマスクが適用される。ハードウェアIPフィルターはルーティングされない同一IPネットワーク内のトラフィックに対しても有効。

DIPADDR: （フィルタリング条件）対象パケットの終点IPアドレス。パケットマッチング時には、ここで指定したアドレスに対してADD SWITCH L3FILTER MATCHコマンドのDCLASSパラメーターで指定したマスクが適用される。ハードウェアIPフィルターはルーティングされない同一IPネットワーク内のトラフィックに対しても有効。

TCPSPORT: （フィルタリング条件）対象パケットのTCP始点ポート。ポート番号かサービス名で指定する。PROTOCOLパラメーターにTCPを指定したときのみ有効。

TCPDPORT: （フィルタリング条件）対象パケットのTCP終点ポート。ポート番号かサービス名で指定する。PROTOCOLパラメーターにTCPを指定したときのみ有効。

TCPSYN: （フィルタリング条件）対象パケットのTCP制御フラグ「Syn」の値（オン・オフ）。TRUEはフラグが立っていることを、FALSEはフラグが立っていないことを示す。PROTOCOLパラメーターにTCPを指定したときのみ有効。また、EPORTパラメーターとは併用しないこと。

TCPACK: （フィルタリング条件）対象パケットのTCP制御フラグ「Ack」の値（オン・オフ）。TRUEはフラグが立っていることを、FALSEはフラグが立っていないことを示す。PROTOCOLパラメーターにTCPを指定したときのみ有効。また、EPORTパラメーターとは併用しないこと。

TCPFIN: （フィルタリング条件）対象パケットのTCP制御フラグ「Fin」の値（オン・オフ）。TRUEはフラグが立っていることを、FALSEはフラグが立っていないことを示す。PROTOCOLパラメーターにTCPを指定したときのみ有効。また、EPORTパラメーターとは併用しないこと。

TYPE: （フィルタリング条件）対象パケット（フレーム）のレイヤー3プロトコルタイプフィールド値（16進数）。本パラメーターを指定した場合、他のフィルタリング条件パラメーターは無効となる。また、ACTIONにSETTOSを指定することはできない。プロトコル番号は、ADD SWITCH L3FILTER MATCHコマンドのTYPEパラメーターで指定したフレームフォーマットにおけるものを指定すること。Ethernet Version 2と802.2 LLC(DSAP、SSAP）におけるプロトコルタイプは2バイト、SNAPのプロトコルタイプは5バイト長で指定する。

UDPSPORT: （フィルタリング条件）対象パケットのUDP始点ポート。ポート番号かサービス名で指定する。PROTOCOLパラメーターにUDPを指定したときのみ有効。

UDPDPORT: （フィルタリング条件）対象パケットのUDP終点ポート。ポート番号かサービス名で指定する。PROTOCOLパラメーターにUDPを指定したときのみ有効。

IPORT: （フィルタリング条件）対象パケットの入力スイッチポート。指定ポートから入力されたパケットだけがフィルタリングの対象となる。ADD SWITCH L3FILTER MATCHコマンドでIMPORT=TRUEを指定した場合にのみ有効。

EPORT: （フィルタリング条件）対象パケットの出力スイッチポート。指定ポートから出力されるパケットだけがフィルタリングの対象となる。ADD SWITCH L3FILTER MATCHコマンドでEMPORT=TRUEを指定した場合にのみ有効。ただし、EPORTパラメーターを指定した場合は、FDBかL3テーブルに登録されていないMACアドレス（ブロードキャスト、マルチキャスト、未学習のユニキャスト）宛てのパケットにはフィルターが適用されなくなるので注意すること。

PRIORITY: （アクションパラメーター）対象パケットに適用する802.1pユーザープライオリティー（0～7）値。ACTIONパラメーターにSETPRIORITYかSENDCOSを指定したときのみ有効。ACTIONにSETPRIORITYを指定したときは、パケットのユーザープライオリティーフィールドにPRIORITYパラメーターで指定した値を書き込んで送出する（出力スイッチポートがタグ付きでないと意味を持たない）。ACTIONにSENDCOSを指定したときは、パケットをPRIORITYパラメーターで指定したユーザープライオリティーに対応する送信キューに入れる。省略時は0。

PORT: （アクションパラメーター）対象パケットを出力するスイッチポート。ACTIONパラメーターにSENDEPORTかSENDNONUNICASTTOPORTを指定したときのみ有効。このとき、本パラメーターで指定するポート（出力ポート）と入力ポートが同一VLANになるよう注意すること。さらに、8748XLでは、入力ポートと本パラメーターで指定する出力ポートが、同一ポートグループ「1～24、49」または「25～48、50」に入っていなくてはならないので注意。

NEWTOS: （アクションパラメーター）パケット送信時にIPヘッダーのTOS優先度フィールドにセットする値。ACTIONにSETTOSを指定した場合のみ有効。

NEWIPDSCP: （アクションパラメーター）パケット送信時にIPヘッダーのDSCPフィールドにセットする値。ACTIONにSETIPDSCPを指定した場合のみ有効。

ACTION: パケットがフィルターの条件に一致したときのアクション。カンマ区切りで複数のアクションを指定できる。別表に示すとおり、アクションはいくつかの「カテゴリー」に分類できる。表1で（相互排他）と記されているカテゴリーは、パケットが同一カテゴリー内の複数のアクションにマッチした場合に、最後にマッチしたエントリー、すなわち、フィルター番号・エントリー番号のもっとも大きなエントリーのアクションだけが実行されることを示している。アクションの詳細は別表を参照のこと。

表 1：ACTIONパラメーターに指定できるオプション

パケットの破棄・通過を制御するアクション（相互排他）

DENY パケットを破棄する。マッチしたエントリーの中にDENYアクションが含まれている場合は、NODROPによって打ち消されない限り、通常のポートからパケットが出力されることはない（SENDEPORT、SENDCOSアクションがある場合でもパケットは出力されない）。ただし、ポートミラーリング機能が有効な場合は、ミラーポートからパケットのコピーが出力される（SENDMIRRORアクションも有効）

NODROP DENYアクションを打ち消し、本来破棄されるべきパケットを出力する。おもに、デフォルト拒否の設定において、一部のパケットだけを許可したい場合に使う

出力ポートを変更するアクション

SENDEPORT ユニキャストパケット（ここでは、ブロードキャスト、マルチキャスト、および、未学習のユニキャストを除くパケットのこと）の出力先をPORTパラメーターで指定されたポートに変更する。このとき、出力ポート（PORT）と入力ポートが同じVLANでなくてはならないので、設定には注意すること。さらに、8748XLでは、入力ポートと出力ポート（PORT）が、同一ポートグループ「1～24、49」または「25～48、50」に入っていなくてはならないので注意。また、仕様により、本来ならL3スイッチング（ルーティング）されるはずのパケットは、出力ポート（PORT）のタグ設定（タグ付き・タグなし）にかかわらず、本来のルーティング先のVLANタグが付いた状態で出力される

SENDNONUNICASTTOPORT 非ユニキャストパケット（ここでは、ブロードキャスト、マルチキャスト、および、未学習のユニキャストのこと）の出力先をPORTパラメーターで指定されたポートだけに変更する。このとき、出力ポートと入力ポートが同じVLANでなくてはならないので、設定には注意すること。さらに、8748XLでは、入力ポートとPORTパラメーターで指定する出力ポートが、同一ポートグループ「1～24、49」または「25～48、50」に入っていなくてはならないので注意

出力キューを変更するアクション（相互排他）

SENDCOS パケットをPRIORITYパラメーターで指定されたプライオリティーに対応するレベルの送信キューに入れる

MOVETOSTOPRIO （受信時の）IPヘッダーのTOS優先度（precedence）フィールドの値を、VLANタグフレームの802.1pユーザープライオリティーフィールドにコピーする。また、コピー後のユーザープライオリティーに対応するレベルの送信キューにパケットを入れる

802.1pプライオリティーを書き換えるアクション（相互排他）

MOVETOSTOPRIO （受信時の）IPヘッダーのTOS優先度（precedence）フィールドの値を、VLANタグフレームの802.1pユーザープライオリティーフィールドにコピーする。また、コピー後のユーザープライオリティーに対応するレベルの送信キューにパケットを入れる

SETPRIORITY VLANタグフレームの802.1pユーザープライオリティーフィールドに、PRIORITYパラメーターで指定された値を書き込む。出力ポートがタグ付きの場合のみ有効。出力ポートがタグなしの場合はパケットにタグが付かないので、本アクションは意味を持たない

IP TOS/DSCPフィールドを書き換えるアクション（相互排他）

SETTOS パケットのIP TOS優先度（precedence）フィールドに、NEWTOSパラメーターで指定された値を書き込む。TYPEパラメーターでIP以外のプロトコルを指定した場合は無効

MOVEPRIOTOTOS （受信時の）VLANタグフレームの802.1pユーザープライオリティーフィールドの値を、IPヘッダーのTOS優先度（precedence）フィールドにコピーする

SETIPDSCP IPヘッダーのDSCP（DiffServ Code Point）フィールドに、NEWIPDSCPパラメーターで指定された値を書き込む。TYPEパラメーターでIP以外のプロトコルを指定した場合は無効

その他のアクション

SENDMIRROR パケットのコピーをミラーポートから出力する。あらかじめ、ミラーポートを指定し、ポートミラーリング機能を有効にしておく必要がある。パケットが複数のエントリーにマッチした場合、DENY、NODROP、SEND～を除く他のアクションがすべて適用された状態でパケットがミラーされる。また、DENY対象のパケットであってもミラーされる。仕様により、すべてのパケットがVLANタグ付きでミラーポートから出力される。また、ルーティング対象パケットには、ルーティング先のVLANタグが付く

備考・注意事項

フィルタリング条件としてEPORT（出力スイッチポート）を指定した場合、FDB、L3テーブルのどちらにも登録されていないMACアドレス（ブロードキャスト、マルチキャスト、未学習のユニキャスト）宛てのパケットにはフィルターが適用されなくなる。したがって、TCP制御フラグによるフィルタリング（TCPSYN、TCPACK、TCPFINパラメーター）を行う場合、および、ブロードキャスト、マルチキャストパケットのフィルタリングを行う場合は、EPORTパラメーターを併用しないこと。

8748XLでは、ポートグループ「1～24、49」と「25～48、50」をまたいで、IPORTとEPORTを同時に設定することはできない。

8748XLでは、パケットの入力ポートと出力ポートがポートグループ「1～24、49」と「25～48、50」をまたいだ場合に、以下の制限がある（SENDEPORT、SENDNONUNICASTTOPORTアクションにおける「出力ポート」は、PORTパラメーターで指定したポートを意味する）。これらの制限は8748XL固有のもので、8724XLにはない。

・まったく機能しないアクション：SENDEPORT、SENDNONUNICASTTOPORT

・IPORTを指定できないアクション（指定した場合はマッチしない）：SENDCOS

・EPORTを指定できないアクション（指定した場合はマッチしない）：SETTOS、MOVETOSTOPRIO、MOVEPRIOTOTOS、SETIPDSCP

・IPORT、EPORTとも指定できないアクション（指定した場合はマッチしない）：NODROP

・制限のないアクション：DENY、SETPRIORITY、SENDMIRROR

前記の制限を回避するため、8748XLでは原則として、入力ポートと出力ポートが「1～24、49」または「25～48、50」のどちらかのポートグループに両方とも入るよう設定することをおすすめする。

PN: J613-M6920-01 Rev.G

パケットの破棄・通過を制御するアクション（相互排他）
DENY	パケットを破棄する。マッチしたエントリーの中にDENYアクションが含まれている場合は、NODROPによって打ち消されない限り、通常のポートからパケットが出力されることはない（SENDEPORT、SENDCOSアクションがある場合でもパケットは出力されない）。ただし、ポートミラーリング機能が有効な場合は、ミラーポートからパケットのコピーが出力される（SENDMIRRORアクションも有効）
NODROP	DENYアクションを打ち消し、本来破棄されるべきパケットを出力する。おもに、デフォルト拒否の設定において、一部のパケットだけを許可したい場合に使う
出力ポートを変更するアクション
SENDEPORT	ユニキャストパケット（ここでは、ブロードキャスト、マルチキャスト、および、未学習のユニキャストを除くパケットのこと）の出力先をPORTパラメーターで指定されたポートに変更する。このとき、出力ポート（PORT）と入力ポートが同じVLANでなくてはならないので、設定には注意すること。さらに、8748XLでは、入力ポートと出力ポート（PORT）が、同一ポートグループ「1～24、49」または「25～48、50」に入っていなくてはならないので注意。また、仕様により、本来ならL3スイッチング（ルーティング）されるはずのパケットは、出力ポート（PORT）のタグ設定（タグ付き・タグなし）にかかわらず、本来のルーティング先のVLANタグが付いた状態で出力される
SENDNONUNICASTTOPORT	非ユニキャストパケット（ここでは、ブロードキャスト、マルチキャスト、および、未学習のユニキャストのこと）の出力先をPORTパラメーターで指定されたポートだけに変更する。このとき、出力ポートと入力ポートが同じVLANでなくてはならないので、設定には注意すること。さらに、8748XLでは、入力ポートとPORTパラメーターで指定する出力ポートが、同一ポートグループ「1～24、49」または「25～48、50」に入っていなくてはならないので注意
出力キューを変更するアクション（相互排他）
SENDCOS	パケットをPRIORITYパラメーターで指定されたプライオリティーに対応するレベルの送信キューに入れる
MOVETOSTOPRIO	（受信時の）IPヘッダーのTOS優先度（precedence）フィールドの値を、VLANタグフレームの802.1pユーザープライオリティーフィールドにコピーする。また、コピー後のユーザープライオリティーに対応するレベルの送信キューにパケットを入れる
802.1pプライオリティーを書き換えるアクション（相互排他）
MOVETOSTOPRIO	（受信時の）IPヘッダーのTOS優先度（precedence）フィールドの値を、VLANタグフレームの802.1pユーザープライオリティーフィールドにコピーする。また、コピー後のユーザープライオリティーに対応するレベルの送信キューにパケットを入れる
SETPRIORITY	VLANタグフレームの802.1pユーザープライオリティーフィールドに、PRIORITYパラメーターで指定された値を書き込む。出力ポートがタグ付きの場合のみ有効。出力ポートがタグなしの場合はパケットにタグが付かないので、本アクションは意味を持たない
IP TOS/DSCPフィールドを書き換えるアクション（相互排他）
SETTOS	パケットのIP TOS優先度（precedence）フィールドに、NEWTOSパラメーターで指定された値を書き込む。TYPEパラメーターでIP以外のプロトコルを指定した場合は無効
MOVEPRIOTOTOS	（受信時の）VLANタグフレームの802.1pユーザープライオリティーフィールドの値を、IPヘッダーのTOS優先度（precedence）フィールドにコピーする
SETIPDSCP	IPヘッダーのDSCP（DiffServ Code Point）フィールドに、NEWIPDSCPパラメーターで指定された値を書き込む。TYPEパラメーターでIP以外のプロトコルを指定した場合は無効
その他のアクション
SENDMIRROR	パケットのコピーをミラーポートから出力する。あらかじめ、ミラーポートを指定し、ポートミラーリング機能を有効にしておく必要がある。パケットが複数のエントリーにマッチした場合、DENY、NODROP、SEND～を除く他のアクションがすべて適用された状態でパケットがミラーされる。また、DENY対象のパケットであってもミラーされる。仕様により、すべてのパケットがVLANタグ付きでミラーポートから出力される。また、ルーティング対象パケットには、ルーティング先のVLANタグが付く