[index] AT-DC2552XS コマンドリファレンス 2.5.3.1

トラフィック制御 / アクセスリスト

  - アクセスリストの作成
  - アクセスリストの使用

アクセスリストは、MACアドレス、IPアドレスなどの情報に基づいてパケットやトラフィックを分類・識別し、分類後の処理を指定するための汎用的な仕組みです。

本製品がサポートしている「ハードウェアアクセスリスト」は、本製品のスイッチングチップ（ASIC）でパケットフィルタリングやトラフィック分類を行うためのアクセスリストです。

ハードウェアアクセスリストでは、パケットヘッダー内の各種フィールドを検査してパケットを分類し、分類したパケットに対しては、許可、破棄、許可＋パケットのコピーをミラーポートから出力する、の3種類の処理から選択することができます。

ハードウェアアクセスリストは次の用途で使用します。

ハードウェアパケットフィルター

受信スイッチポートまたはVLANでパケットをフィルタリング（許可、拒否、許可＋ミラーリング）する機能です。次の2方式があります。
- ハードウェアアクセスリストを直接適用する方式（インターフェースACL。スイッチポートにのみ適用可）
- ポリシーマップ、クラスマップを介して間接的に適用する方式（ポリシーマップ。スイッチポートとVLANに適用可）
Quality of Service（QoS）

受信スイッチポートまたはVLANでパケットをトラフィッククラスに分類し、それぞれに異なるサービスレベル（帯域や優先度）を割り当てる機能です。間接方式のハードウェアパケットフィルターと同じく、ポリシーマップを利用します。

本解説編では、ハードウェアアクセスリストの基本的な作成方法について解説します。

なお、ハードウェアアクセスリストの具体的な使用方法については、「トラフィック制御」の「ハードウェアパケットフィルター」、「トラフィック制御」の「Quality of Service」、および、各コマンドのページをご参照ください。

Note - ハードウェアパケットフィルターは、本製品が送信するパケットには適用されません。

Note - IGMP Snooping有効時、IGMPパケットにはハードウェアパケットフィルター（インターフェースACL、ポリシーマップ）が適用されません。

アクセスリストの作成

ハードウェアアクセスリストは、以下のコマンドで設定を行います。

リストの作成・削除: access-list hardware(list)コマンド
エントリーの追加・変更・削除: access-list hardware(seq entry)コマンド

作成できるアクセスリスト、エントリーの数は次のとおりです。

作成可能なハードウェアアクセスリストの数：最大512個
1つのアクセスリストが持てるエントリーの数：最大256個

なお、上記数値はハードウェアアクセスリスト単体での作成可能数です。
ハードウェアパケットフィルターとしてインターフェースに適用できるアクセスリスト、エントリーの数は、システム内部領域の消費具合に依存します。システム内部領域に関しては、「トラフィック制御」/「ハードウェアパケットフィルター」の「内部領域と設定可能数」をご覧ください。

■ ハードウェアアクセスリストを作成するには、access-list hardware(list)コマンドを使います。このコマンドを実行すると、ハードウェアアクセスリストモードに移動します。

awplus(config)# access-list hardware myacl ↓ awplus(config-ip-hw-acl)#

■ ハードウェアアクセスリストにエントリーを追加するには、ハードウェアアクセスリストモードのaccess-list hardware(seq entry)コマンドを使います。
次にいくつか具体例を示します

192.168.10.100から192.168.10.1へのIPパケットを拒否する。

awplus(config-ip-hw-acl)# deny ip 192.168.10.100/32 192.168.10.1/32 ↓

192.168.10.1のTCP80番ポートへのアクセスを拒否する。

awplus(config-ip-hw-acl)# deny tcp any 192.168.10.1/32 eq 80 ↓

192.168.20.0/24から192.168.10.1へのPingを拒否する。

awplus(config-ip-hw-acl)# deny icmp 192.168.20.0/24 192.168.10.1/32 icmp-type 8 ↓

MACアドレス00:0a:79:34:0b:33からのパケットを拒否する。

awplus(config-ip-hw-acl)# deny mac 00:0a:79:34:0b:33 00:00:00:00:00:00 any ↓

MACアドレス00:11:22:33:44:55から00:0a:79:34:0b:33へのパケットを拒否する。

awplus(config-ip-hw-acl)# deny mac 00:11:22:33:44:55 00:00:00:00:00:00 00:0a:79:34:0b:33 00:00:00:00:00:00 ↓

アクセスリストの使用

作成したハードウェアアクセスリストは、以下の機能/コマンドから使用できます。

ハードウェアパケットフィルター
- ハードウェアアクセスリストを直接適用する方式（インターフェースACL）：access-groupコマンド（インターフェースモード）
- ポリシーマップ、クラスマップを介して間接的に適用する方式（ポリシーマップ）：match access-groupコマンド（クラスマップモード）
Quality of Service（QoS）
- ポリシーマップ：match access-groupコマンド（クラスマップモード）

■ ハードウェアパケットフィルターの詳細については、「トラフィック制御」の「ハードウェアパケットフィルター」をご覧ください。

■ Quality of Service（QoS）の詳細については、「トラフィック制御」の「Quality of Service」をご覧ください。

PN: 613-001633 Rev.C