[index] AT-DC2552XS コマンドリファレンス 2.5.4.1

トラフィック制御 / ハードウェアパケットフィルター

Note - ハードウェアパケットフィルターは、本製品が送信するパケットには適用されません。

Note - IGMP Snooping有効時、IGMPパケットにはハードウェアパケットフィルター（インターフェースACL、ポリシーマップ）が適用されません。

• ハードウェアアクセスリストを直接適用する方式（インターフェースACL。スイッチポートにのみ適用可）
  
• ポリシーマップ、クラスマップを介して間接的に適用する方式（ポリシーマップ。スイッチポートとVLANに適用可）
  

• Ethernetヘッダー
  
  • 送信元MACアドレス
    
  • 宛先MACアドレス
    
  • 入力VLAN
    
• IPヘッダー
  
  • 始点IPアドレス
    
  • 終点IPアドレス
    
  • 上位プロトコル（IPすべて、TCP、UDP、ICMP、任意のプロトコルタイプ）
    
• TCP/UDPヘッダー
  
  • 始点ポート番号
    
  • 終点ポート番号
    
• ICMPヘッダー
  
  • メッセージタイプ
    

• Ethernetヘッダー
  
  • 宛先MACアドレスの種別（ユニキャスト、ブロードキャスト、マルチキャスト）
    
  • フレームフォーマットとプロトコルタイプ
    
  • CoS値
    
• IPヘッダー
  
  • TOS優先度（precedence）
    
  • DSCP（DiffServ Code Point）
    
• TCPヘッダー
  
  • TCP制御フラグ（ACK, SYN, FIN, RST, URG）
    

• 通常転送（permit）
  
• 破棄（deny）
  
• 通常転送 ＋ ミラーポートにコピー（copy-to-mirror）
  

• スイッチポート1.0.1
  
  • [1] ハードウェアアクセスリスト acl1
    
    • (1) deny ip 10.0.0.0/8 any
      
    • (2) deny ip 172.16.0.0/12 any
      
    • (3) deny ip 192.168.0.0/16 any
      
  • [2] ハードウェアアクセスリスト acl2
    
    • (4) deny tcp any any eq 25
      
    • (5) deny tcp any any eq 3128
      
    • (6) deny tcp any any eq 8080
      
  • [3] ハードウェアアクセスリスト acl3
    
    • (7) copy-to-mirror udp any any eq 14888
      
    • (8) copy-to-mirror icmp any any
      

• スイッチポート1.0.2
  
  • ポリシーマップ polmap2
    
    • [1] クラスマップ cmap1
      
      • ハードウェアアクセスリスト pacl1
        
        • (1) permit tcp 192.168.10.0/24 192.168.20.0/24
          
      • (1) match tcp-flags syn ack
        
    • [2] クラスマップ cmap2
      
      • ハードウェアアクセスリスト pacl2
        
        • (2) deny tcp 192.168.10.0/24 192.168.20.0/24
          
      • (2) match tcp-flags syn
        
    • [3] デフォルトクラスマップ
      
      • (3) アクション permit
        

1. 受信ポートに適用されたポリシーマップのユーザー定義クラスマップ（ポリシーマップに関連付けた順で照合）
   
2. 受信VLANに適用されたポリシーマップのユーザー定義クラスマップ（ポリシーマップに関連付けた順で照合）
   
3. 受信ポートに適用されたポリシーマップのデフォルトクラスマップ
   
4. 受信VLANに適用されたポリシーマップのデフォルトクラスマップ
   

awplus(config)# access-list hardware acl1 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.1.0/24 any ↓ awplus(config-ip-hw-acl)# deny ip 192.168.2.0/24 any ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# access-list hardware acl2 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.3.0/24 any ↓ awplus(config-ip-hw-acl)# exit ↓

1. スイッチポートに適用したハードウェアアクセスリストのエントリー数に応じて内部領域を消費します。
   
   たとえば、acl1（2エントリー）とacl2（1エントリー）を、acl1, acl2の順でスイッチポートport1.0.1に適用すると、インターフェースACL用の内部領域は3単位消費されます。
   

   awplus(config)# interface port1.0.1 ↓ awplus(config-if)# access-group acl1 ↓ awplus(config-if)# access-group acl2 ↓

   
   
2. 同じハードウェアアクセスリストを同じ順序で複数のスイッチポートに適用する場合、内部領域の消費量はポート数に左右されません。
   
   たとえば、acl1（2エントリー）とacl2（1エントリー）を、全52ポート（port1.0.1〜port1.0.61）に適用した場合でも、適用順序が全ポート同じであれば、内部領域の消費量は3単位で変わりません。
   

   awplus(config)# interface port1.0.1-port1.0.61 ↓ awplus(config-if)# access-group acl1 ↓ awplus(config-if)# access-group acl2 ↓

   
   
3. 複数のスイッチポートに同じハードウェアアクセスリストを適用していても、ポートによってハードウェアアクセスリストの適用順序が異なる場合、前項は適用されず、適用順序の組み合わせ数によって消費量が増えます。
   
   たとえば、acl1（2エントリー）とacl2（1エントリー）を、acl1, acl2の順でport1.0.1〜port1.0.48に、acl2, acl1の順でport1.0.49〜port1.0.61に適用した場合の内部領域消費量は3単位ではなく、5単位になります。
   

   awplus(config)# interface port1.0.1-port1.0.48 ↓ awplus(config-if)# access-group acl1 ↓ awplus(config-if)# access-group acl2 ↓ awplus(config-if)# exit ↓ awplus(config)# interface port1.0.49-port1.0.61 ↓ awplus(config-if)# access-group acl2 ↓ awplus(config-if)# access-group acl1 ↓ awplus(config-if)# exit ↓

   本製品は、インターフェースACLの領域消費量をおさえるため、各ポートにおけるアクセスリストの適用順序を守りながらも、可能な場合は複数ポートで領域を共有します。そのため、同じハードウェアアクセスリストを異なる順序で複数ポートに適用した場合の内部領域消費量は、ポートあたりの消費量×適用順の組み合わせ数（上記例では3×2＝6）よりも小さくなる（上記例では5）ことがあります。
   
   しかし、どの程度領域を共有できるかは、各スイッチポートでのアクセスリスト適用順だけでなく、コマンドの入力順序にも依存するため、CLIからダイナミックに設定したときと、コンフィグ保存後に再起動したときとで領域消費量が異なるケースもあります。インターフェースACLを使用する場合は、次にのべるshow platform classifier statistics utilization briefコマンドで実際の消費量を確認しながら設定を進めてください。また、設定がひととおり完了したら、設定を保存して再起動し、再起動後の領域消費量も確認すると確実です。
   

awplus# show platform classifier statistics utilization brief ↓

1. 基本原則として、スイッチポートまたはVLANに適用したポリシーマップ内のクラスマップ数（デフォルトクラスマップを含む）に応じて内部領域を消費します。
   
   たとえば、次に示すポリシーマップpmap1をスイッチポートport1.0.1に適用した場合、pmap1はユーザー定義のクラスマップ2つ（cmap1, cmap2）と暗黙のうちに存在するデフォルトクラスマップ（default）1つの合計3つのクラスマップを持つため、ポリシーマップ用内部領域の消費量は3単位となります。
   

   awplus(config)# access-list hardware acl1 ↓ awplus(config-ip-hw-acl)# permit tcp 192.168.10.0/24 192.168.20.0/24 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# access-list hardware acl2 ↓ awplus(config-ip-hw-acl)# deny tcp 192.168.10.0/24 192.168.20.0/24 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# class-map cmap1 ↓ awplus(config-cmap)# match access-group acl1 ↓ awplus(config-cmap)# match tcp-flags syn ack ↓ awplus(config-cmap)# exit ↓ awplus(config)# class-map cmap2 ↓ awplus(config-cmap)# match access-group acl2 ↓ awplus(config-cmap)# match tcp-flags syn ↓ awplus(config-cmap)# exit ↓ awplus(config)# policy-map pmap1 ↓ awplus(config-pmap)# class cmap1 ↓ awplus(config-pmap-c)# exit ↓ awplus(config-pmap)# class cmap2 ↓ awplus(config-pmap-c)# exit ↓ awplus(config-pmap)# exit ↓ awplus(config)# interface port1.0.1 ↓ awplus(config-if)# service-policy input pmap1 ↓

   
   
2. 基本は1クラスマップあたり1単位の消費量ですが、クラスマップのマッチ条件として複数のエントリーを持つハードウェアアクセスリストが使われている場合、該当クラスマップはハードウェアアクセスリストのエントリー数分の領域を消費します。
   
   たとえば、次に示すポリシーマップpmap2をスイッチポートport1.0.1に適用した場合の内部領域消費量は、cmap3が2単位、cmap4が2単位、defaultが1単位で合計5単位となります。
   

   awplus(config)# access-list hardware acl3 ↓ awplus(config-ip-hw-acl)# permit tcp 192.168.10.0/24 192.168.20.0/24 ↓ awplus(config-ip-hw-acl)# permit tcp 192.168.10.0/24 192.168.30.0/24 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# access-list hardware acl4 ↓ awplus(config-ip-hw-acl)# deny tcp 192.168.10.0/24 192.168.20.0/24 ↓ awplus(config-ip-hw-acl)# deny tcp 192.168.10.0/24 192.168.30.0/24 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# class-map cmap3 ↓ awplus(config-cmap)# match access-group acl3 ↓ awplus(config-cmap)# match tcp-flags syn ack ↓ awplus(config-cmap)# exit ↓ awplus(config)# class-map cmap4 ↓ awplus(config-cmap)# match access-group acl4 ↓ awplus(config-cmap)# match tcp-flags syn ↓ awplus(config-cmap)# exit ↓ awplus(config)# policy-map pmap2 ↓ awplus(config-pmap)# class cmap3 ↓ awplus(config-pmap-c)# exit ↓ awplus(config-pmap)# class cmap4 ↓ awplus(config-pmap-c)# exit ↓ awplus(config-pmap)# exit ↓ awplus(config)# interface port1.0.1 ↓ awplus(config-if)# service-policy input pmap2 ↓

   
   
3. ポリシーマップを複数のスイッチポートまたはVLANに適用した場合、内部領域の総消費量は各ポートまたはVLANの消費量を合計したものとなります。これは、同じポリシーマップを複数ポートまたはVLANに適用した場合であっても変わりません。
   
   たとえば、前記ポリシーマップpmap1を全52ポート（port1.0.1〜port1.0.61）に適用した場合の内部領域消費量は、3×52＝156単位となります。
   

   awplus(config)# interface port1.0.1-port1.0.61 ↓ awplus(config-if)# service-policy input pmap1 ↓

   
   同様に、前記ポリシーマップpmap2を全52ポート（port1.0.1〜port1.0.61）に適用した場合の内部領域消費量は、5×52＝260単位となりますが、ポリシーマップ機能が使える内部領域は256単位なので、これは不可能です。
   （次の例では、port1.0.1〜port1.0.57の51ポートにはpmap2を適用できていますが、51ポートで5×51＝255単位を消費してしまっており、残りが1単位しかないため、最終ポート1.0.61へのpmap2（5単位）の適用には失敗しています）
   

   awplus(config)# interface port1.0.1-port1.0.61 ↓ awplus(config-if)# service-policy input pmap2 ↓ % Max number of Filter entries has exceeded. % Can't attach policy-map(pmap2) to port1.0.61

   
   また、ポリシーマップをVLANに適用した場合は、ポート数ではなくVLAN数をもとに計算します。たとえば、前の例と同じポリシーマップpmap1を、スイッチポートではなく、vlan101〜150の50 VLANに適用した場合の内部領域消費量は、3×50＝150単位となります。
   

   awplus(config)# interface vlan101-vlan150 ↓ awplus(config-if)# service-policy input pmap1 ↓

   
   

awplus# show platform classifier statistics utilization brief ↓

1. ハードウェアアクセスリストを作成
   
   • access-list hardware(list)コマンド
     
   • access-list hardware(seq entry)コマンド
     
   
   
2. 受信スイッチポートにアクセスリストを適用
   
   • access-groupコマンド
     

1. ハードウェアアクセスリストacl2を作成し、IPパケットの条件とマッチしたときの処理を指定します。これにはaccess-list hardware(list)コマンドとaccess-list hardware(seq entry)コマンドを使います。
   

   awplus(config)# access-list hardware acl2 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.100.38/32 192.168.10.5/32 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.100.38/32 192.168.10.11/32 ↓ awplus(config-ip-hw-acl)# exit ↓

   
   
2. 受信スイッチポートにハードウェアアクセスリストを追加します。interfaceコマンドで対象スイッチポートを指定してインターフェースモードに入り、access-groupコマンドで関連付けるハードウェアアクセスリストを指定します。
   

   awplus(config)# interface port1.0.13 ↓ awplus(config-if)# access-group acl2 ↓ awplus(config-if)# exit ↓

Note - 1つのスイッチポートに対して、ハードウェアアクセスリストを複数追加した場合、受信パケットとアクセスリストの照合はアクセスリストの追加順に行われます。受信パケットがどのアクセスリストともマッチしなかった場合、該当パケットは許可されます。

awplus(config)# interface port1.0.1-1.0.10 ↓ awplus(config-if)# access-group acl3 ↓

awplus(config)# interface sa1 ↓ awplus(config-if)# access-group acl4 ↓ % ACL cannot be attached to a static aggregator interface.

Note - REFグループ（refX）上でのハードウェアパケットフィルター（インターフェースACL）の使用はサポート対象外です。

awplus(config)# access-list hardware acltest1 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.10.100/32 192.168.20.0/24 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# interface port1.0.1 ↓ awplus(config-if)# access-group acltest1 ↓

awplus(config)# access-list hardware acltest2 ↓ awplus(config-ip-hw-acl)# deny icmp 10.0.0.0/8 any ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# interface port1.0.2-1.0.4 ↓ awplus(config-if)# access-group acltest2 ↓

awplus(config)# access-list hardware acltest3 ↓ awplus(config-ip-hw-acl)# permit mac 00:0a:79:34:0b:00 00:00:00:00:00:ff any ↓ awplus(config-ip-hw-acl)# deny mac any any ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# interface port1.0.5 ↓ awplus(config-if)# access-group acltest3 ↓

awplus(config)# access-list hardware acltest4 ↓ awplus(config-ip-hw-acl)# deny tcp any 192.168.30.100/32 eq 23 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# interface port1.0.8 ↓ awplus(config-if)# access-group acltest4 ↓

awplus(config)# access-list hardware acltest5 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.10.0/24 any ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# access-group acltest5 ↓

awplus(config)# access-list hardware acltest5 ↓ awplus(config-ip-hw-acl)# permit ip 192.168.10.0/24 192.168.10.0/24 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.10.0/24 any ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# access-group acltest5 ↓

Note - ハードウェアパケットフィルターでは、最初にマッチしたアクセスリストのアクションが実行されます。デフォルト拒否の設定を行うには、最初に特定の条件を満たしたパケットを許可するアクセスリストを並べた上で、最後にすべてを破棄するアクセスリストを指定します。また、デフォルト許可に設定する場合は、特定の条件を満たしたパケットを拒否するアクセスリストだけを並べていきます。つまり、ハードウェアパケットフィルター自体はデフォルト許可です。

awplus# show interface port1.0.1-1.0.24 access-group ↓

awplus# show access-list ↓

awplus(config)# interface port1.0.1-1.0.24 ↓ awplus(config-if)# no access-group acltest11 ↓ awplus(config-if)# no access-group acltest10 ↓

Note - スイッチポートからハードウェアパケットフィルターを削除しても、ハードウェアアクセスリストそのものは削除されません。スイッチポートとハードウェアアクセスリストの関連付けが削除されるだけです。ハードウェアアクセスリストを削除するには、access-list hardware(list)コマンドをno形式で実行します。

Note - ここでは、ポリシーマップのパケットフィルタリング機能だけをとりあげます。ポリシーマップのQoS機能については、「トラフィック制御」の「Quality of Service」をご覧ください。

1. ハードウェアアクセスリストを作成
   
   • access-list hardware(list)コマンド
     
   • access-list hardware(seq entry)コマンド
     
   
   
2. クラスマップを作成
   
   • class-mapコマンド
     
   • match access-groupコマンド
     
   • match cosコマンド
     
   • match dscpコマンド
     
   • match eth-format protocolコマンド
     
   • match ip-precedenceコマンド
     
   • match mac-typeコマンド
     
   • match tcp-flagsコマンド
     
   • match vlanコマンド
     
   
   
3. ポリシーマップを作成
   
   • policy-mapコマンド
     
   • classコマンド
     
   • default-actionコマンド
     
   
   
4. 受信スイッチポートまたはVLANにポリシーマップを適用
   
   • service-policy inputコマンド
     

1. 192.168.10.0/24から192.168.20.0/24へのTCPパケットを識別するハードウェアアクセスリストを作成します。これにはaccess-list hardware(list)コマンドとaccess-list hardware(seq entry)コマンドを使います。
   ここでは、Syn=OnかつAck=Onのパケットを許可するためのアクセスリストSA10と、Syn=Onのパケットを破棄するためのアクセスリストS10を作成します。
   なお、ハードウェアアクセスリストでは、TCP制御フラグの指定はできません。これは、クラスマップのmatch tcp-flags節を使って指定します。
   

   awplus(config)# access-list hardware SA10 ↓ awplus(config-ip-hw-acl)# permit tcp 192.168.10.0/24 192.168.20.0/24 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# access-list hardware S10 ↓ awplus(config-ip-hw-acl)# deny tcp 192.168.10.0/24 192.168.20.0/24 ↓ awplus(config-ip-hw-acl)# exit ↓

   Note - ハードウェアアクセスリストの概要と作成方法については、「トラフィック制御」の「アクセスリスト」をご覧ください。

   
   
2. 192.168.10.0/24から192.168.20.0/24へのTCPパケットに関して、Syn=OnかつAck=Onのパケットを許可するクラスマップpermitSA10と、Syn=Onのパケットを破棄するクラスマップdenyS10を作成します。
   クラスマップの作成はclass-mapコマンドで行います。同コマンドを実行するとクラスマップモードに移動するので、同モードのコマンドを使って分類条件を指定してください。ここでは、match access-groupコマンドを使って、前の手順で作成したハードウェアアクセスリストを指定し、match tcp-flagsコマンドでTCP制御フラグのマッチ条件を指定します。
   

   awplus(config)# class-map permitSA10 ↓ awplus(config-cmap)# match access-group SA10 ↓ awplus(config-cmap)# match tcp-flags syn ack ↓ awplus(config-cmap)# exit ↓ awplus(config)# class-map denyS10 ↓ awplus(config-cmap)# match access-group S10 ↓ awplus(config-cmap)# match tcp-flags syn ↓ awplus(config-cmap)# exit ↓

   
   
3. 2つのクラスマップを束ねるポリシーマップpacl10を作成します。最初にpolicy-mapコマンドでポリシーマップの名前を指定します。これにより、ポリシーマップモードに移動します。
   

   awplus(config)# policy-map pacl10 ↓ awplus(config-pmap)#

   
   
4. ポリシーマップにクラスマップを関連付け、該当クラスマップによって識別されたパケットに対する処理を指定します。ここでは、192.168.10.0/24から192.168.20.0/24へのTCP Syn + Ackパケットを許可、同TCP Synパケットを拒否、その他すべてのパケットを許可するよう設定します。
   クラスマップの関連付けはclassコマンドで行います。同コマンドでクラスマップ名を指定するとポリシーマップ・クラスモードに移動しますが、現状このモードで実行できるコマンドはありませんので、すぐにexitコマンドを実行して同モードを抜けます。
   

   awplus(config-pmap)# class permitSA10 ↓ awplus(config-pmap-c)# exit ↓ awplus(config-pmap)# class denyS10 ↓ awplus(config-pmap-c)# exit ↓ awplus(config-pmap)# exit ↓

   
   
5. ポリシーマップpacl10をネットワーク192.168.10.0/24の接続されているスイッチポート1.0.1〜1.0.2に適用します。
   

   awplus(config)# interface port1.0.1-1.0.2 ↓ awplus(config-if)# service-policy input pacl10 ↓

awplus(config)# interface port1.0.1-1.0.10 ↓ awplus(config-if)# service-policy input pacl10 ↓

awplus(config)# interface po1 ↓ awplus(config-if)# service-policy input pacl12 ↓ % Service policy cannot be applied to a dynamic aggregator interface. awplus(config-if)# exit ↓ awplus(config)# interface ref1 ↓ awplus(config-if)# service-policy input pacl12 ↓ ^ % Invalid input detected at '^' marker.

awplus(config)# interface vlan10 ↓ awplus(config-if)# service-policy input pcal10 ↓

(C) 2011-2013 アライドテレシスホールディングス株式会社

PN: 613-001633 Rev.D