[index] CentreCOM 9424T/SP-E、9424Ts/XP-E コマンドリファレンス 2.4

クラシファイア/概要・基本設定

  - クラシファイアの構成
  - 基本設定
  - クラシファイアの使用
   - フィルターマスクテーブルについて

ヘッダー情報に基づいてパケットを分類するクラシファイア（汎用パケットフィルター）について説明します。クラシファイアは単体で使用するのではなく、ポリシーベースQoS機能やハードウェアパケットフィルター機能と組み合わせて使用します。

クラシファイアの仕様は、次のとおりです。

クラシファイアは、最大256個まで作成可能
ただし、1ポートに割り当てられるクラシファイアの数は、128個まで（ポリシーベースQoSとハードウェアパケットフィルター機能合わせて）
同一のクラシファイアを、ポリシーベースQoSとハードウェアパケットフィルター機能の両方で使用可能

クラシファイアの構成

クラシファイアは、下記の条件に基づいてパケットをフローに分類します。

表 1：条件パラメーター

項目名 説明

レイヤー2 bold(1) center(1) span(1-2)

MACDADDR 宛先MACアドレスフィールド

MACSADDR 送信元MACアドレスフィールド

ETHFORMAT （Ethernet）フレームフォーマット

PROTOCOL （Ethernet）プロトコル

PRIORITY （Ethernet）802.1pプライオリティー値

VLAN 入力VLAN（VLAN名またはVIDで指定）

レイヤー3

IPSADDR （IPヘッダー）始点アドレス/マスク長

IPDADDR （IPヘッダー）終点アドレス/マスク長

IPDSCP （IPヘッダー）DSCP（DiffServ Code Point）（IPTOSとの併用不可）

IPTOS （IPヘッダー）TOS優先度（precedence）（IPDSCPとの併用不可）

IPPROTOCOL （IPヘッダー）プロトコルタイプ（レイヤー4プロトコルタイプ）

レイヤー4

TCPSPORT （TCPヘッダー）始点ポート

TCPDPORT （TCPヘッダー）終点ポート

UDPSPORT （UDPヘッダー）始点ポート

UDPDPORT （UDPヘッダー）終点ポート

TCPFLAGS （TCPヘッダー）制御フラグ（URG,ACK,PSH,RST,SYN,FIN）

基本設定

■ クラシファイアを作成するには、CREATE CLASSIFIERコマンドを使います。CLASSIFIERパラメーターに指定するのは、各クラシファイアを識別するための番号です。この番号は単なる識別子であり、値の大小は意味を持ちません。


CREATE CLASSIFIER=10 IPDADDR=192.168.10.0/24 ↓

Note - MACDADDRパラメーターに01:80:C2:00:00:00～01:80:C2:00:00:FFを指定することはできません。

Note - クラシファイアをパラメーターなしで作成することで、全パケット（BPDUパケット、EAPパケットは除く）を対象にすることができます。ハードウェアパケットフィルターでACTION=denyを指定した場合、ARPパケットも破棄されますが、ARPパケットを許可する条件を作成することで回避できます。

■ 作成済みのクラシファイアを変更するには、SET CLASSIFIERコマンドを使います。


SET CLASSIFIER=10 IPDADDR=192.168.10.0/16 ↓

Note - MACDADDRパラメーターに01:80:C2:00:00:00～01:80:C2:00:00:FFを指定することはできません。

■ クラシファイアを削除するには、DESTROY CLASSIFIERコマンドを使います。アクセスコントロールリストやQoSポリシー（厳密にはフローグループ）に関連付けられているクラシファイアは削除できません。先に関連付けを削除してからDESTROY CLASSIFIERコマンドを実行してください。

クラシファイア番号は、カンマ、ハイフンを使って複数指定が可能です。


DESTROY CLASSIFIER=1 ↓

DESTROY CLASSIFIER=10-15 ↓

DESTROY CLASSIFIER=23,25-27 ↓

DESTROY CLASSIFIER=ALL ↓

■ クラシファイアの一覧はSHOW CLASSIFIERコマンドで確認できます。


SHOW CLASSIFIER ↓

■ クラシファイア番号を指定した場合は、該当クラシファイアのパラメーター一覧が表示されます。


SHOW CLASSIFIER=1 ↓

SHOW CLASSIFIER=ALL ↓

クラシファイアの使用

前述のとおり、クラシファイアはパケットをフローに分類するメカニズムを提供するだけです。実際に使用するには、QoSポリシーかアクセスコントロールリストと関連付ける必要があります。

■ ポリシーベースQoS機能では、パケットをフローグループに分類するためにクラシファイアを使います。フローグループにクラシファイアを関連付けるには、ADD QOS FLOWGROUPコマンドを使います。


ADD QOS FLOWGROUP=10 CLASSIFIERLIST=1-5 ↓

■ ハードウェアパケットフィルター機能では、クラシファイアとマッチ時のアクション、および、入力ポートの3つ1組でフィルターエントリーを構成します。アクセスコントロールリストにエントリーを追加するには、CREATE ACLコマンドを使います。


CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=10-12 PORTLIST=1-4 ↓

この例では、スイッチポート1～4に入力するパケットのうち、クラシファイア「10」、「11」、「12」のいずれかにマッチするパケットを破棄します。

ポリシーベースQoSの詳細は、「QoS」の章をご覧ください。

ハードウェアパケットフィルターの詳細は、「ハードウェアパケットフィルター」の章をご覧ください。

Note - ハードウェアパケットフィルターでのACLのエントリーにクラシファイアを割り当てた後、または、ポリシーベースQoSでQoSポリシーをスイッチポートに割り当てた後では、クラシファイアの設定を変更することはできません。クラシファイアの設定を変更するには、それぞれの設定を解除してから変更してください。

フィルターマスクテーブルについて

本製品では、ハードウェアによるフィルタリング機能を実現するために、システム内部の「フィルターマスクテーブル」を使用しています。
フィルターマスクとは、パケットヘッダーのどのフィールドを使ってパケットをふるいわけるかを指定するものです。
フィルターマスクテーブルは1ポートあたり16個分の領域を持っていて、フィルターマスクが登録されるごとに1個分の領域を消費します。

クラシファイアはフィルターマスクに対して具体的な値を指定したもので、1ポートあたり128個まで割り当てられますが、フィルター作成時やポリシーの適用時に、フィルターマスクテーブルの領域16個分がすべて消費されていると、エラーメッセージが表示され、それ以上フィルターやポリシーの追加ができなくなります。

フィルターマスクテーブルに関する基本原則は以下のとおりです。

ハードウェアパケットフィルターとポリシーベースQoSの両方で使用される（フィルターマスクは、ハードウェアパケットフィルターのエントリー作成時、およびQoSポリシーの適用時に登録される）。
IGMP Snooping、MLD Snooping、EPSR Snoopingはそれぞれ1個分の領域を使用するため、全機能を有効にしている場合、フィルターやポリシーに使用できるフィルターマスク領域は1ポートあたり13個になる。
条件にIPヘッダーを指定している場合、マスク値が異なるとフィルターマスク領域が1個分消費される。

ハードウェアパケットフィルターを例に、フィルターマスク領域がどのように消費されるかを説明します。

create classisier=1 tcpd=80 <--フィルターマスクを1個使用
create classifier=2 tcps=1000 <--classifier=1と異なるフィールドをみるので、フィルターマスクを1個使用
create classifier=1 action=deny classifierlist=1 portlist=1
create classifier=2 action=deny classifierlist=2 portlist=1

ポート1でフィルターマスクが2個消費されたことになります。

create classisier=1 tcpd=80 <--フィルターマスクを1個使用
create classifier=2 tcpd=23 <--数値は異なるがclassifier=1と同じフィールドをみるので、フィルターマスクは追加されない
create classifier=1 action=deny classifierlist=1 portlist=1
create classifier=2 action=deny classifierlist=2 portlist=1

ポート1でフィルターマスク領域が1個消費されたことになります。
値が異なっても、同じフィールドをみる場合はフィルターマスクは登録されません。

create classisier=1 ipdaddr=10.0.0.0/8 <--フィルターマスクを1個使用
create classifier=2 ipdaddr=10.0.0.0/24 <--classifier=1と同じipdaddrでも、マスク値が異なる場合はフィルターマスクを1個使用
create classifier=1 action=deny classifierlist=1 portlist=1
create classifier=2 action=permit classifierlist=2 portlist=1

ポート1でフィルターマスク領域が2個消費されたことになります。
IPアドレスの場合は、マスク値が異なると別のフィルターマスクとして扱われます。

create classisier=1 tcpd=80 <--フィルターマスクを1個使用
create classifier=2 tcpd=23 tcps=100 <--フィルターマスクを1個使用
create classifier=1 action=deny classifierlist=1 portlist=1
create classifier=2 action=deny classifierlist=2 portlist=1

ポート1でフィルターマスク領域が2個消費されたことになります。
classifier=1とclassifier=2でフィールドが重なっていますが、classifier=2では同時に2つのフィールドをみるため、別のフィルターマスクとして扱われます。

PN: 613-000699 Rev.C

項目名	説明
レイヤー2	bold(1) center(1) span(1-2)
MACDADDR	宛先MACアドレスフィールド
MACSADDR	送信元MACアドレスフィールド
ETHFORMAT	（Ethernet）フレームフォーマット
PROTOCOL	（Ethernet）プロトコル
PRIORITY	（Ethernet）802.1pプライオリティー値
VLAN	入力VLAN（VLAN名またはVIDで指定）
レイヤー3
IPSADDR	（IPヘッダー）始点アドレス/マスク長
IPDADDR	（IPヘッダー）終点アドレス/マスク長
IPDSCP	（IPヘッダー）DSCP（DiffServ Code Point）（IPTOSとの併用不可）
IPTOS	（IPヘッダー）TOS優先度（precedence）（IPDSCPとの併用不可）
IPPROTOCOL	（IPヘッダー）プロトコルタイプ（レイヤー4プロトコルタイプ）
レイヤー4
TCPSPORT	（TCPヘッダー）始点ポート
TCPDPORT	（TCPヘッダー）終点ポート
UDPSPORT	（UDPヘッダー）始点ポート
UDPDPORT	（UDPヘッダー）終点ポート
TCPFLAGS	（TCPヘッダー）制御フラグ（URG,ACK,PSH,RST,SYN,FIN）