[index] CentreCOM 9424T/SP コマンドリファレンス 2.3

ハードウェアパケットフィルター/概要・基本設定

  - 基本動作
   - フィルターの構成
   - フィルター処理の流れ
    - レガシーモード(アクションに許可が指定されているエントリーを優先処理)
    - エンハンスモード(エントリーID順に処理)
  - 設定手順
  - コマンド例
   - エンハンスモードで可能になった設定例
  - 注意事項
   - 本体宛てのパケット 
   - IGMP Snooping機能との併用

ハードウェアパケットフィルターは、ハードウェア(ASIC)レベルで入力パケットをフィルタリング(許可・拒否)する機能です。

ハードウェアパケットフィルターには以下の特長があります。


パケットのフィルタリング条件には、以下の各項目を使用できます。フィルタリング条件は、汎用のパケットフィルターであるクラシファイアによって定義します。クラシファイアの詳細については「クラシファイア」の章をご覧ください。


条件に一致したパケットに対しては、以下の処理(アクション)が可能です。


 

基本動作

ハードウェアパケットフィルターの基本動作について説明します。

 

フィルターの構成

ハードウェアパケットフィルターは、複数のエントリーをリストとして保持する「アクセスコントロールリスト(ACL)」から構成されます。エントリーは、クラシファイア(汎用パケットフィルター)とアクション、および適用対象のスイッチポート(入力ポート)で構成されます。


エントリーの構成は、次のとおりです。

表 1
ACL エントリーのID
DESCRIPTION エントリーの説明
ACTION マッチした場合のアクション
CLASSIFIERLIST エントリーに割り当てるクラシファイアのID
PORTLIST エントリーに割り当てるポート


ACLの仕様は、次のとおりです。


 

フィルター処理の流れ


ハードウェアパケットフィルターでは、パケット受信時に次の処理が行われます。
ACLのモードは以下の2つがあり、モードにより処理の流れが異なります。


デフォルトはレガシーモードです。
レガシーモードを無効にし、エンハンスモードにする場合は、DISABLE ACL LEGACYMODEコマンドを実行します。


 

レガシーモード(アクションに許可が指定されているエントリーを優先処理)

レガシーモードでは、パケット受信時に次の処理が行われます。

  1. 受信したパケットがエントリーにマッチするかどうか調べます。
  2. 許可するエントリーにマッチした場合、そのパケットを出力します。
  3. 許可するエントリーにマッチせず、破棄するエントリーにマッチした場合、そのパケットを破棄します。
  4. エントリーにマッチしないパケットを出力します。
Note - 設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。


 

エンハンスモード(エントリーID順に処理)

エンハンスモードでは、パケット受信時にエントリーID順に処理が行われます。
  1. 受信したパケットがエントリーにマッチするかどうか、ACLのエントリーIDの番号順に調べます。
  2. 条件にマッチした場合は、残りの条件は調べずに、その条件のアクションをします。
  3. エントリーにマッチしないパケットを出力します。
Note - 設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。

Note - レガシーモードですでにハードウェアパケットフィルターを設定している場合に無効にすると、ハードウェアパケットフィルターが正しく動作しないことがあります。PURGE ACLコマンドでACLの設定を工場出荷時の状態に戻してから、エンハンスモードの処理フローに適したACLを設定しなおしてください。

 

設定手順

ハードウェアパケットフィルターの設定は、次の流れで行います。

  1. クラシファイアの作成(CREATE CLASSIFIERコマンド)
  2. ACLのエントリーの作成(CREATE ACLコマンド)

以下、各手順について詳しく解説します。

ここでは例として、ポート8に接続されているクライアントから、サーバー192.168.10.5宛てのパケットを遮断するよう設定します。

  1. クラシファイアを作成します。詳細は「クラシファイア」の章をご覧ください。


  2. ACLにエントリーを追加します。エントリーを追加するには、クラシファイア、マッチ時のアクション(許可か破棄)、エントリーを適用する入力ポートの指定が必要です。




基本設定は以上です。

 

コマンド例

■ 送信元MACアドレスが、00-00-f4-33-22-11のパケットを破棄


■ 192.168.10.100から192.168.20.0/24へのIPパケットを破棄


■ 192.168.30.100へのtelnetパケットを破棄。



■ ACLの一覧を表示するには、SHOW ACLコマンドを使います。


■ クラシファイアの一覧を表示するには、SHOW CLASSIFIERコマンドを実行します。CLASSIFIERパラメーターに番号を指定すれば、該当するクラシファイアのみが表示されます。


■ ACLからエントリーを削除するには、DESTROY ACLコマンドを使います。



Note - ACLからエントリーを削除しても、クラシファイアは削除されません。ACLとクラシファイアの関連付けが削除されるだけです。クラシファイアを削除するには、DESTROY CLASSIFIERコマンドを使います。

 

エンハンスモードで可能になった設定例

■ ポート1で受信する通信のうち192.168.0.0/16宛ての通信のみ許可します。ただし 192.168.1.0/24 宛ての通信は破棄します。


  1. ACLの動作モードを変更します。


  2. クラシファイアを作成します。


  3. ARPを許可します。


  4. ACL IDの小さいエントリーに、サブネットマスクの長いクラシファイア2(192.168.1.0/24)を登録します。クラシファイア1(192.168.0.0/16)は、クラシファイア2の条件も含むため、先に登録しなければなりません。


  5. クラシファイア1(192.168.0.0/16)を登録し、クラシファイア2の条件を除いてクラシファイア1にマッチする通信を許可します。


  6. クラシファイア1、2のいずれにもマッチしないすべての通信を拒否するためにクラシファイア3を登録します。



■ マルチプルVLAN構成でクライアントポートから特定端末(00:01:23:xx:xx:xx)のみ通信を許可します。ただし本製品宛て(192.168.1.100)の通信は破棄します。

  1. マルチプルVLANを設定します。

                      ・
                      ・
                      ・


  2. ACLの動作モードを変更します。


  3. クラシファイアを作成します。


  4. ACL IDの小さいエントリーに、条件の多いクラシファイア2(特定端末+本製品宛て)を登録します。クラシファイア1(特定端末)は、クラシファイア2の条件の一部と重なるため、先に登録しなければなりません。


  5. クラシファイア1(特定端末)を登録し、クラシファイア2の条件を除いてクラシファイア1にマッチする通信を許可します。


  6. クラシファイア1、2のいずれにもマッチしないすべての通信を拒否するためにクラシファイア3を登録します。


 

注意事項

ここでは、設定時に注意が必要なハードウェアパケットフィルターの仕様について解説します。

 

本体宛てのパケット

スイッチ本体(CPU)宛てのパケットに対し、ハードウェアパケットフィルター機能は動作します。

 

IGMP Snooping機能との併用

ハードウェアパケットフィルターで、IPPROTOCOLにIGMPを指定したクラシファイアを使用した場合は、IGMP Snooping機能は有効にできません。







(C) 2004-2009 アライドテレシスホールディングス株式会社

PN: J613-M0109-12 Rev.G