[index]
CentreCOM 9424T/SP-E、9424Ts/XP-E コマンドリファレンス 2.4
ハードウェアパケットフィルター/概要・基本設定
- 基本動作
- フィルターの構成
- フィルター処理の流れ
- 9424Ts/XP-Eの動作について
- 設定手順
- コマンド例
- 注意事項
- 本体宛てのパケット
- IGMP Snooping機能との併用
ハードウェアパケットフィルターは、ハードウェア(ASIC)レベルで入力パケットをフィルタリング(許可・拒否)する機能です。
ハードウェアパケットフィルターには以下の特長があります。
- ハードウェアで処理するため高速
- 入力ポート単位でフィルタリングが可能
パケットのフィルタリング条件には、以下の各項目を使用できます。フィルタリング条件は、汎用のパケットフィルターであるクラシファイアによって定義します。クラシファイアの詳細については「クラシファイア」の章をご覧ください。
- Ethernetの送信元・宛先MACアドレス、フレームフォーマットとプロトコルタイプ(タグ付き、タグなし)
- 入力VLAN
- 802.1pプライオリティー値
- IPヘッダーのTOS優先度(precedence)またはDSCP(DiffServ Code Point)、プロトコル、始点・終点IPアドレス
- TCPヘッダーの始点・終点ポート、制御フラグのフィールド値
- UDPヘッダーの始点・終点ポート
条件に一致したパケットに対しては、以下の処理(アクション)が可能です。
ハードウェアパケットフィルターの基本動作について説明します。
ハードウェアパケットフィルターは、複数のエントリーをリストとして保持する「アクセスコントロールリスト(ACL)」から構成されます。エントリーは、クラシファイア(汎用パケットフィルター)とアクション、および適用対象のスイッチポート(入力ポート)で構成されます。
エントリーの構成は、次のとおりです。
表 1
| ACL |
エントリーのID |
| DESCRIPTION |
エントリーの説明 |
| ACTION |
マッチした場合のアクション |
| CLASSIFIERLIST |
エントリーに割り当てるクラシファイアのID |
| PORTLIST |
エントリーに割り当てるポート |
ACLの仕様は、次のとおりです。
- 最大エントリー数は64個
- 同一ポートに複数のエントリーを割り当てることができる(ただし、同じクラシファイアを含むエントリーを、同一ポートに割り当てることはできない)
- 同一エントリーを複数ポートに割り当てることができる
- 1ポートに割り当てられるクラシファイアの数は、128個まで(ポリシーベースQoSとハードウェアパケットフィルター機能合わせて)
ハードウェアパケットフィルターでは、パケット受信時に次の処理が行われます。
Note
- 以下の説明は、設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。
- 受信したパケットがエントリーにマッチするかどうか調べます。
- 許可するエントリーにマッチした場合、そのパケットを出力します。
- 許可するエントリーにマッチせず、破棄するエントリーにマッチした場合、そのパケットを破棄します。
- エントリーにマッチしないパケットを出力します。
9424Ts/XP-Eの動作について
9424Ts/XP-Eのハードウェアパケットフィルターの処理の流れは、次のとおりになります。
- 受信したパケットがエントリーにマッチするかどうか、ACLのエントリーIDの番号順に調べます。
- 条件にマッチした場合は、残りの条件は調べずに、その条件のアクションをします。
- エントリーにマッチしないパケットを出力します。
また、9424Ts/XP-EでACLにクラシファイアを割り当てるときは、下記の決まりに従ってください。
- 下記の表に示した、グループ1の条件とグループ2の条件を、1つのクラシファイアに割り当てないでください。
- クラシファイアをACLに割り当てる場合、グループ1の条件を指定したクラシファイアは、グループ2の条件を指定したクラシファイアより、若いエントリー番号を指定して、ACLに割り当ててください。
- 全パケットを対象とするNo parameter(エントリーIDのみ指定)のクラシファイアとグループ2のパラメーターを併用した場合、グループ1とグループ2の関係から、すべてのパケットがNo parameterにマッチしてしまいます。グループ2のパラメーターを使用する場合は、全パケットを対象とするNo parameterのクラシファイアを使用しないでください。もし、グループ2を使用時に全パケットをフィルタリングしたい場合はETHFORMATパラメーターにIPを指定してください。この設定により、IPパケットすべてをフィルタリングすることができます。ただし、ETHFORMATパラメーターにIPを指定した場合は、IP以外のパケットはフィルタリングされません。
表 2
| フィルターグループ1 |
フィルターグループ2 |
| MACDADDR |
ETHFORMAT |
| MACSADDR |
IPTOS |
| PRIORITY |
IPDSCP |
| VLAN |
IPPROTOCOL |
| PROTOCOL |
IPDADDR |
| No parameter |
IPSADDR |
| |
TCPDPORT |
| |
TCPSPORT |
| |
UDPDPORT |
| |
UDPSPORT |
| |
TCPFLAGS |
ハードウェアパケットフィルターの設定は、次の流れで行います。
- クラシファイアの作成(CREATE CLASSIFIERコマンド)
- ACLのエントリーの作成(CREATE ACLコマンド)
以下、各手順について詳しく解説します。
ここでは例として、ポート8に接続されているクライアントから、サーバー192.168.10.5宛てのパケットを遮断するよう設定します。
- クラシファイアを作成します。詳細は「クラシファイア」の章をご覧ください。
CREATE CLASSIFIER=1 IPDADDR=192.168.10.5 ↓
- ACLにエントリーを追加します。エントリーを追加するには、クラシファイア、マッチ時のアクション(許可か破棄)、エントリーを適用する入力ポートの指定が必要です。
CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=8 ↓
基本設定は以上です。
■ 送信元MACアドレスが、00-00-f4-33-22-11のパケットを破棄
CREATE CLASSIFIER=1 MACSADDR=00-00-f4-33-22-11 ↓
CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=6 ↓
■ 192.168.10.100から192.168.20.0/24へのIPパケットを破棄
CREATE CLASSIFIER=1 IPSADDR=192.168.10.100/32 IPDADDR=192.168.20.0/24 ↓
CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=5 ↓
■ 192.168.30.100へのtelnetパケットを破棄。
CREATE CLASSIFIER=1 IPDADDR=192.168.30.100/32 TCPDPORT=23 ↓
CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=4 ↓
■ ACLの一覧を表示するには、SHOW ACLコマンドを使います。
■ クラシファイアの一覧を表示するには、SHOW CLASSIFIERコマンドを実行します。CLASSIFIERパラメーターに番号を指定すれば、該当するクラシファイアのみが表示されます。
SHOW CLASSIFIER ↓
SHOW CLASSIFIER=1-3 ↓
■ ACLからエントリーを削除するには、DESTROY ACLコマンドを使います。
Note
- ACLからエントリーを削除しても、クラシファイアは削除されません。ACLとクラシファイアの関連付けが削除されるだけです。クラシファイアを削除するには、DESTROY CLASSIFIERコマンドを使います。
ここでは、設定時に注意が必要なハードウェアパケットフィルターの仕様について解説します。
スイッチ本体(CPU)宛てのパケットに対し、ハードウェアパケットフィルター機能は動作します。
ハードウェアパケットフィルターで、IPPROTOCOLにIGMPを指定したクラシファイアを使用した場合は、IGMP Snooping機能は有効にできません。
(C) 2006-2008 アライドテレシスホールディングス株式会社
PN: 613-000699 Rev.C