[index] CentreCOM 9424T コマンドリファレンス 2.11

ハードウェアパケットフィルター/概要・基本設定

  - 基本動作
   - フィルターの構成
   - フィルター処理の流れ
  - 設定手順
  - コマンド例
  - 設定例
   - 特定スイッチポートからのみ外部へのUDP通信を許可
   - TCP片方向通信
   - 「マルチプルVLAN」的構成例
   - 特定ホスト通信許可の構成例
  - 注意事項
   - 本体宛てのパケット 
   - IGMP Snooping機能との併用

ハードウェアパケットフィルターは、ハードウェア（ASIC）レベルで入力パケットをフィルタリング（許可・拒否）する機能です。

ハードウェアパケットフィルターには以下の特長があります。

ハードウェアで処理するため高速
入力ポート単位でフィルタリングが可能

パケットのフィルタリング条件には、以下の各項目を使用できます。フィルタリング条件は、汎用のパケットフィルターであるクラシファイアによって定義します。クラシファイアの詳細については「クラシファイア」の章をご覧ください。

Ethernetの送信元・宛先MACアドレス、フレームフォーマットとプロトコルタイプ（タグ付き、タグなし）
入力VLAN
802.1pプライオリティー値
IPヘッダーのTOS優先度（precedence）またはDSCP（DiffServ Code Point）、プロトコル、始点・終点IPアドレス
TCPヘッダーの始点・終点ポート、制御フラグのフィールド値
UDPヘッダーの始点・終点ポート

条件に一致したパケットに対しては、以下の処理（アクション）が可能です。

許可（permit）
破棄（deny）

基本動作

ハードウェアパケットフィルターの基本動作について説明します。

フィルターの構成

ハードウェアパケットフィルターは、複数のエントリーをリストとして保持する「アクセスコントロールリスト（ACL）」から構成されます。エントリーは、クラシファイア（汎用パケットフィルター）とアクション、および適用対象のスイッチポート（入力ポート）で構成されます。

エントリーの構成は、次のとおりです。

表 1

ACL エントリーのID

DESCRIPTION エントリーの説明

ACTION マッチした場合のアクション

CLASSIFIERLIST エントリーに割り当てるクラシファイアのID

PORTLIST エントリーに割り当てるポート

ACLの仕様は、次のとおりです。

最大エントリー数は64個
同一ポートに複数のエントリーを割り当てることができる（ただし、同じクラシファイアを含むエントリーを、同一ポートに割り当てることはできない）
同一エントリーを複数ポートに割り当てることができる
1ポートに割り当てられるクラシファイアの数は、128個まで

フィルター処理の流れ

ハードウェアパケットフィルターでは、パケット受信時に次の処理が行われます。

受信したパケットがエントリーにマッチするかどうか、ACLのエントリーIDの番号順に調べます。
条件にマッチした場合は、残りの条件は調べずに、その条件のアクションをします。
エントリーにマッチしないパケットを出力します。

Note - 設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。

設定手順

ハードウェアパケットフィルターの設定は、次の流れで行います。

クラシファイアの作成（CREATE CLASSIFIERコマンド）
ACLのエントリーの作成（CREATE ACLコマンド）

以下、各手順について詳しく解説します。

ここでは例として、ポート8に接続されているクライアントから、サーバー192.168.10.5宛てのパケットを遮断するよう設定します。

クラシファイアを作成します。詳細は「クラシファイア」の章をご覧ください。
ACLにエントリーを追加します。エントリーを追加するには、クラシファイア、マッチ時のアクション（許可か破棄）、エントリーを適用する入力ポートの指定が必要です。

基本設定は以上です。

コマンド例

■ 送信元MACアドレスが、00-00-f4-33-22-11のパケットを破棄


CREATE CLASSIFIER=1 MACSADDR=00-00-f4-33-22-11 ↓

CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=6 ↓

■ 192.168.10.100から192.168.20.0/24へのIPパケットを破棄


CREATE CLASSIFIER=1 IPSADDR=192.168.10.100/32 IPDADDR=192.168.20.0/24 ↓

CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=5 ↓

■ 192.168.30.100へのtelnetパケットを破棄。


CREATE CLASSIFIER=1 IPDADDR=192.168.30.100/32 TCPDPORT=23 ↓

CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=4 ↓

■ 192.168.20.100のみ双方向の通信が可能。


CREATE CLASSIFIER=1 IPDADDR=192.168.20.100/32 ↓

CREATE CLASSIFIER=2 IPSADDR=192.168.20.100/32 ↓

CREATE CLASSIFIER=3 PROTOCOL=ARP ↓

CREATE CLASSIFIER=4 ↓

CREATE ACL=1 ACTION=PERMIT CLASSIFIERLIST=1 PORTLIST=ALL ↓

CREATE ACL=2 ACTION=PERMIT CLASSIFIERLIST=2 PORTLIST=ALL ↓

CREATE ACL=3 ACTION=PERMIT CLASSIFIERLIST=3 PORTLIST=ALL ↓

CREATE ACL=4 ACTION=DENY CLASSIFIERLIST=4 PORTLIST=ALL ↓

■ ARPのみ双方向の通信が可能。


CREATE CLASSIFIER=1 PROTOCOL=ARP ↓

CREATE CLASSIFIER=2 PROTOCOL=ANY ↓

CREATE ACL=1 ACTION=PERMIT CLASSIFIERLIST=1 PORTLIST=ALL ↓

CREATE ACL=2 ACTION=DENY CLASSIFIERLIST=2 PORTLIST=ALL ↓

■ ACLの一覧を表示するには、SHOW ACLコマンドを使います。


SHOW ACL ↓

■ クラシファイアの一覧を表示するには、SHOW CLASSIFIERコマンドを実行します。CLASSIFIERパラメーターに番号を指定すれば、該当するクラシファイアのみが表示されます。


SHOW CLASSIFIER ↓

SHOW CLASSIFIER=1-3 ↓

■ ACLからエントリーを削除するには、DESTROY ACLコマンドを使います。


DESTROY ACL=1 ↓

Note - ACLからエントリーを削除しても、クラシファイアは削除されません。ACLとクラシファイアの関連付けが削除されるだけです。クラシファイアを削除するには、DESTROY CLASSIFIERコマンドを使います。

設定例

特定スイッチポートからのみ外部へのUDP通信を許可

ハードウェアパケットフィルターを利用して、VLAN内の特定ポートからのみ外部へのUDP通信を許可する設定例を示します。ここでは、次のようなネットワーク構成を例に説明します。

ここでは、次のようなフィルタリング条件を考えます。

VLAN orangeから外部へのUDPトラフィックは原則として拒否する。
ただし、ポート1から外部へはUDP通信を許可する。

ポート単位でのフィルタリングには、DHCPクライアントのIPアドレスが変更された場合でも対応できるメリットがあります。

スイッチAの設定

VLANの設定を行います。
VLANインターフェースにIPアドレスを設定します。
デフォルトルートを設定します。
ハードウェアパケットフィルターの設定を行います。
- クラシファイアを作成します。ここではUDPトラフィックだけを対象とするため、IPプロトコルフィールド（IPPROTOCOL）に UDP を指定します。
- ポートとアクションを指定し、ACLにエントリーを追加します。ここでは受信ポートが2か3のトラフィックを破棄するよう指定します。

設定は以上です。

TCP片方向通信

マッチ条件としてTCPの制御フラグSynとAckを使用し、片方のVLANからのみTCPの通信を開始できる設定例を示します。ここでは、次のようなネットワーク構成を例に説明します。

ここでは、次のようなフィルタリング条件を考えます。

TCPはVLAN orangeからwhiteへの通信（セッション開始）のみを許可。whiteからorangeへの通信は拒否する。
その他のプロトコルはすべて許可する。

スイッチAの設定

VLANの設定を行います。
VLANインターフェースにIPアドレスを設定します。
ハードウェアパケットフィルターの設定を行います。
- クラシファイアを作成します。ここでは始点IPアドレスに192.168.10.0/24、終点IPアドレスに192.168.20.0/24、TCPヘッダー制御フラグ(TCPFLAGS)にSYNを指定します。
- ポートとアクションを指定し、ACLにエントリーを追加します。ここでは受信ポートが1から12のトラフィックを破棄するよう指定します。

設定は以上です。

「マルチプルVLAN」的構成例

ポート1をVLAN10(共有)、ポート2をVLAN20(職員室) 、ポート3をVLAN30(教室)とし、VLAN10からは VLAN20とVLAN30両方に通信できるが、VLAN20とVLAN30間の通信は禁止する設定例を示します。ここでは、次のようなネットワーク構成を例に説明します。

スイッチAの設定

VLANの設定を行います。
VLANインターフェースにIPアドレスを設定します。
ハードウェアパケットフィルターの設定を行います。
- 以下の2個のクラシファイアを作成します。
  始点IPアドレス 192.168.20.0/24から終点IPアドレス 192.168.30.0/24。
  始点IPアドレス 192.168.30.0/24から終点IPアドレス 192.168.20.0/24。
- ポートとアクションを指定し、ACLにエントリーを追加します。ここでは受信ポート2にクラシファイア1を、受信ポート3にクラシファイア2を割り当て、トラフィックを破棄するよう指定します。

設定は以上です。

特定ホスト通信許可の構成例

VLAN10とVLAN20間の通信は破棄するが、ホストA(192.168.10.100)の通信は許可する設定例を示します。ここでは、次のようなネットワーク構成を例に説明します。

スイッチAの設定

VLANの設定を行います。
VLANインターフェースにIPアドレスを設定します。
ハードウェアパケットフィルターの設定を行います。
- ホストAの通信を許可する2個のクラシファイアを作成します。
  始点IPアドレス 192.168.10.100/32から終点IPアドレス 192.168.20.0/24。
  始点IPアドレス 192.168.20.0/24から終点IPアドレス 192.168.10.100/32。
- VLAN間の通信を破棄する2個のクラシファイアを作成します。
  始点IPアドレス 192.168.10.0/24から終点IPアドレス 192.168.20.0/24。
  始点IPアドレス 192.168.20.0/24から終点IPアドレス 192.168.10.0/24。
- ポートとアクションを指定し、ACLにエントリーを追加します。ここではクラシファイア1、2のトラフィックを許可するように、クラシファイア3、4のトラフィックを破棄するように指定します。

設定は以上です。

注意事項

ここでは、設定時に注意が必要なハードウェアパケットフィルターの仕様について解説します。

本体宛てのパケット

スイッチ本体（CPU）宛てのパケットに対し、ハードウェアパケットフィルター機能は動作します。

IGMP Snooping機能との併用

ハードウェアパケットフィルターで、IPPROTOCOLにIGMPを指定したクラシファイアを使用した場合は、IGMP Snooping機能は有効にできません。

PN: 613-001210 Rev.C

ACL	エントリーのID
DESCRIPTION	エントリーの説明
ACTION	マッチした場合のアクション
CLASSIFIERLIST	エントリーに割り当てるクラシファイアのID
PORTLIST	エントリーに割り当てるポート