[index] CentreCOM Secure HUB FS980Mシリーズ コマンドリファレンス 5.4.7
NoteAMFとアクセスリスト/ファイアウォールを併用する場合、以下にご注意ください。
access-list hardware TEST permit ip 172.31.0.0/16 172.31.0.0/16 <---- AMF パケットを許可 permit ip 192.168.10.0/24 any deny ip any any
Note同一ポート上において、ハードウェアパケットフィルターとポリシーマップを併用することは可能です。該当ポートで受信したパケットの処理は、ハードウェアパケットフィルター、ポリシーマップの順に行われます。ただし、次項で述べる制限事項があるので注意してください。
Noteハードウェアパケットフィルターにマッチしたパケットに対して、ポリシーマップによるQoSは適用されません(ここでの「マッチ」とは、破棄(deny)だけでなく明示的な転送許可(permitなど)も含みます)。ハードウェアパケットフィルターで破棄(deny)のアクションだけを使用する場合は両者を併用しても問題はありませんが、ハードウェアパケットフィルターで破棄以外のアクションを使用する場合は、ハードウェアパケットフィルターとポリシーマップを併用せずに、ポリシーマップのフィルタリング機能を使ってフィルタリングを行ってください。
Noteハードウェアパケットフィルターでは、IP/IPv6ヘッダーのDSCP値やTCPヘッダーの制御フラグ値などに基づくフィルタリングはできません。これらの条件でフィルタリングを行いたい場合は、ポリシーマップのフィルタリング機能を利用してください。詳しくは、「トラフィック制御」の「Quality of Service」をご覧ください(「ポリシーマップのフィルタリング機能」他)。
Note以下の説明は、設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。あらかじめご了承ください。
Noteハードウェアパケットフィルターは、スイッチ本体から送信されるパケットには適用されません。
Noteハードウェアパケットフィルターにマッチしたパケットに対して、ポリシーマップによるQoSは適用されません(ここでの「マッチ」とは、破棄(deny)だけでなく明示的な転送許可(permitなど)も含みます)。ハードウェアパケットフィルターで破棄(deny)のアクションだけを使用する場合は両者を併用しても問題はありませんが、ハードウェアパケットフィルターで破棄以外のアクションを使用する場合は、ハードウェアパケットフィルターとポリシーマップを併用せずに、ポリシーマップのフィルタリング機能を使ってフィルタリングを行ってください。
awplus(config)# access-list 3000 deny ip 192.168.100.38/32 192.168.10.5/32 ↓ awplus(config)# access-list 3001 deny ip 192.168.100.38/32 192.168.10.11/32 ↓ awplus(config)# access-list 3002 deny ip any 192.168.10.5/32 ↓
awplus(config)# interface port1.0.12 ↓ awplus(config-if)# access-group 3000 ↓ awplus(config-if)# access-group 3001 ↓ awplus(config-if)# exit ↓
Noteスイッチポートやスイッチ全体に対して、ハードウェアアクセスリストを複数追加した場合、受信パケットとアクセスリストの照合はアクセスリストの追加順に行われます。受信パケットがどのアクセスリストともマッチしなかった場合、該当パケットは許可されます。
Noteハードウェアパケットフィルターは、スイッチ本体から送信されるパケットには適用されません。
awplus(config)# interface sa1 ↓ awplus(config-if)# access-group 3010 ↓
awplus(config)# interface port1.0.12 ↓ awplus(config-if)# access-group 3010 ↓ % ACL cannot be attached to an interface that is a member of a static-channel-group. Try attaching the ACL to "sa" interface.
awplus(config)# interface port1.0.1-1.0.10 ↓ awplus(config-if)# access-group 3020 ↓
awplus(config)# interface po1 ↓ awplus(config-if)# access-group 3020 ↓ % ACL cannot be attached to a dynamic aggregator interface.
awplus(config)# access-list 3010 deny ip 192.168.10.100/32 192.168.20.0/24 ↓ awplus(config)# interface port1.0.1 ↓ awplus(config-if)# access-group 3010 ↓
awplus(config)# access-list 3020 deny icmp 10.0.0.0/8 any ↓ awplus(config)# interface port1.0.2-1.0.4 ↓ awplus(config-if)# access-group 3020 ↓
awplus(config)# access-list 4010 permit 000a.7934.0b00 0000.0000.00ff any ↓ awplus(config)# access-list 4011 deny any any ↓ awplus(config)# interface port1.0.5 ↓ awplus(config-if)# access-group 4010 ↓ awplus(config-if)# access-group 4011 ↓
awplus(config)# access-list 3030 deny tcp any 192.168.30.100/32 eq 23 ↓ awplus(config)# interface port1.0.8 ↓ awplus(config-if)# access-group 3030 ↓
awplus(config)# access-list 3035 deny tcp any any gt 59999 ↓ awplus(config)# access-list 3036 deny udp any any gt 59999 ↓ awplus(config)# access-group 3035 ↓ awplus(config)# access-group 3036 ↓■ ハードウェアパケットフィルターは、ルーティングされない同一サブネット内のトラフィックに対しても有効です。そのため、「192.168.10.0/24の存在するポート1.0.1~1.0.12において、192.168.10.0/24から他のサブネットへのIP通信を拒否」するつもりで次のような設定を行うと、192.168.10.0/24内でもIP通信ができなくなってしまいます。
awplus(config)# access-list 3041 deny ip 192.168.10.0/24 any ↓ awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# access-group 3041 ↓
awplus(config)# access-list 3040 permit ip 192.168.10.0/24 192.168.10.0/24 ↓ awplus(config)# access-list 3041 deny ip 192.168.10.0/24 any ↓ awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# access-group 3040 ↓ awplus(config-if)# access-group 3041 ↓
Noteハードウェアパケットフィルターでは、最初にマッチしたアクセスリストのアクションが実行されます。デフォルト拒否の設定を行うには、最初に特定の条件を満たしたパケットを許可するアクセスリストを並べた上で、最後にすべてを破棄するアクセスリストを指定します。また、デフォルト許可に設定する場合は、特定の条件を満たしたパケットを拒否するアクセスリストだけを並べていきます。つまり、ハードウェアパケットフィルター自体はデフォルト許可です。
awplus> show interface port1.0.1-1.0.12 access-group ↓ Interface port1.0.12 access-group 3000 access-group 3001
awplus# show access-list ↓
awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# no access-group 3041 ↓ awplus(config-if)# no access-group 3040 ↓
Noteスイッチポートからハードウェアパケットフィルターを削除しても、ハードウェアアクセスリストそのものは削除されません。スイッチポートとハードウェアアクセスリストの関連付けが削除されるだけです。ハードウェアアクセスリストを削除するには、access-list(hardware ip)コマンド、access-list(hardware mac)コマンド、access-list hardware(list)コマンドをno形式で実行します。
awplus(config)# access-list hardware mylist ↓ awplus(config-ip-hw-acl)# deny ip 192.168.100.0/24 192.168.10.0/24 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.100.0/24 192.168.20.0/24 ↓ awplus(config-ip-hw-acl)# deny ip 192.168.100.0/24 192.168.30.0/24 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)# interface port1.0.1 ↓ awplus(config-if)# access-group mylist ↓
awplus# show access-list mylist ↓ Hardware IP access list mylist 10 deny ip 192.168.100.0/24 192.168.10.0/24 20 deny ip 192.168.100.0/24 192.168.20.0/24 30 deny ip 192.168.100.0/24 192.168.30.0/24 awplus#
Noteシーケンス番号を指定しないで設定した場合、10ステップで自動にシーケンス番号が設定されます。
awplus(config)# access-list hardware mylist ↓ % This access-list is attached to an interface. The modified configuration will be applied to the interface automatically after exiting this configration mode by entering "exit" or "end" command. awplus(config-ip-hw-acl)# 15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)#
Noteアクセスグループを設定している場合、エントリーの追加はaccess-list hardware(list)コマンドの変更のみで可能です。
Noteアクセスグループを設定している場合、ハードウェアパケットフィルターのシーケンス番号を利用して設定変更した場合、設定内容が適用されるタイミングは、ハードウェアアクセスリストモードから、ExitまたはEndを実行し、グローバルコンフィグレーションモードまたは特権EXECモードに移行したときになります。それまでは、設定変更前のフィルター設定が動作します。
awplus# show access-list mylist ↓ Hardware IP access list mylist 10 deny ip 192.168.100.0/24 192.168.10.0/24 15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80 20 deny ip 192.168.100.0/24 192.168.20.0/24 30 deny ip 192.168.100.0/24 192.168.30.0/24 awplus#
awplus(config)# access-list hardware mylist ↓ % This access-list is attached to an interface. The modified configuration will be applied to the interface automatically after exiting this configration mode by entering "exit" or "end" command. awplus(config-ip-hw-acl)# no 30 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)#
awplus(config)# access-list hardware mylist ↓ % This access-list is attached to an interface. The modified configuration will be applied to the interface automatically after exiting this configration mode by entering "exit" or "end" command. awplus(config-ip-hw-acl)# no deny ip 192.168.100.0/24 192.168.30.0/24 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)#
awplus# show access-list mylist ↓ Hardware IP access list mylist 10 deny ip 192.168.100.0/24 192.168.10.0/24 15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80 20 deny ip 192.168.100.0/24 192.168.20.0/24 awplus#
awplus# show access-list mylist ↓ Hardware IP access list mylist 10 deny ip 192.168.100.0/24 192.168.10.0/24 15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80 20 deny ip 192.168.100.0/24 192.168.20.0/24 awplus#
awplus(config)# access-list hardware mylist ↓ % This access-list is attached to an interface. The modified configuration will be applied to the interface automatically after exiting this configration mode by entering "exit" or "end" command. awplus(config-ip-hw-acl)# 17 deny ip 192.168.100.0/24 192.168.10.0/24 ↓ awplus(config-ip-hw-acl)# exit ↓ awplus(config)#
awplus# show access-list mylist ↓ Hardware IP access list mylist 15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80 17 deny ip 192.168.100.0/24 192.168.10.0/24 20 deny ip 192.168.100.0/24 192.168.20.0/24 awplus#
Noteアクセスリスト内で同じ条件とアクションを持つエントリーをシーケンス番号で指定して新たに設定した場合、設定したシーケンス番号にエントリーは移動します。
awplus# show access-list mylist ↓ Hardware IP access list mylist 15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80 17 deny ip 192.168.100.0/24 192.168.10.0/24 20 deny ip 192.168.100.0/24 192.168.20.0/24 awplus#
awplus# show access-list mylist ↓ Hardware IP access list mylist 10 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80 20 deny ip 192.168.100.0/24 192.168.10.0/24 30 deny ip 192.168.100.0/24 192.168.20.0/24 awplus#
(C) 2016 - 2017 アライドテレシスホールディングス株式会社
PN: 613-002362 Rev.G