トラフィック制御 / ハードウェアパケットフィルター

ハードウェアパケットフィルターは、本製品のスイッチングチップ（ASIC）でパケットフィルタリングを行う機能です。

ハードウェアパケットフィルターの処理は、スイッチングチップのL2入力部で行われます。そのため、ルーティングされないトラフィック（同一VLAN内のトラフィック）に対してもフィルタリングが可能です。

Note
AMFとアクセスリスト/ファイアウォールを併用する場合、以下にご注意ください。

スイッチ製品のアクセスリストやルーター製品のファイアウォールを有効にしている場合は、AMFマネージメントサブネット（atmf management subnet）内の通信を許可する必要があります。さらに、AMF仮想リンクを使用している環境では、仮想リンクのパケットも許可してください（「アライドテレシスマネージメントフレームワーク（AMF）」の応用編を参照）。
以下のような AMF管理用IP通信を許可するアクセスリストを、破棄リストよりも前に追加してください。　以下は例として、送信元 192.168.10.0/24 のIPとAMF管理用IP通信を許可、その他のIP通信を破棄する設定となります。
```
　access-list hardware TEST
　 permit ip 172.31.0.0/16 172.31.0.0/16    <---- AMF パケットを許可
　 permit ip 192.168.10.0/24 any
　 deny ip any any
```

Note
同一ポート上において、ハードウェアパケットフィルターとポリシーマップを併用することは可能です。該当ポートで受信したパケットの処理は、ハードウェアパケットフィルター、ポリシーマップの順に行われます。ただし、次項で述べる制限事項があるので注意してください。

Note
ハードウェアパケットフィルターにマッチしたパケットに対して、ポリシーマップによるQoSは適用されません（ここでの「マッチ」とは、破棄（deny）だけでなく明示的な転送許可（permitなど）も含みます）。ハードウェアパケットフィルターで破棄（deny）のアクションだけを使用する場合は両者を併用しても問題はありませんが、ハードウェアパケットフィルターで破棄以外のアクションを使用する場合は、ハードウェアパケットフィルターとポリシーマップを併用せずに、ポリシーマップのフィルタリング機能を使ってフィルタリングを行ってください。

パケットのフィルタリング条件には、以下の各項目を使用できます。

Ethernetヘッダー
- 送信元MACアドレス
- 宛先MACアドレス
IPヘッダー
- 始点IPアドレス
- 終点IPアドレス
- 上位プロトコル（IPすべて、TCP、UDP、ICMP、任意のプロトコルタイプ）
TCP/UDPヘッダー
- 始点ポート番号
- 終点ポート番号
ICMPヘッダー
- メッセージタイプ
入力VLAN

Note
ハードウェアパケットフィルターでは、IP/IPv6ヘッダーのDSCP値やTCPヘッダーの制御フラグ値などに基づくフィルタリングはできません。これらの条件でフィルタリングを行いたい場合は、ポリシーマップのフィルタリング機能を利用してください。詳しくは、「トラフィック制御」の「Quality of Service」をご覧ください（「ポリシーマップのフィルタリング機能」他）。

条件に一致したパケットに対しては、以下の処理（アクション）が可能です。アクションは最初に一致したフィルターエントリー（ハードウェアアクセスリスト）で適用されます。どのエントリーにも一致しなかったパケットは通常どおり転送処理されます。

通常転送（permit）
破棄（deny）
通常転送＋ CPUにコピー（copy-to-cpu）
破棄＋ CPUにコピー（send-to-cpu）
通常転送＋ミラーポートにコピー（copy-to-mirror）

フィルタリング条件と処理内容は、ハードウェアアクセスリストによって定義します。ハードウェアアクセスリストの概要と作成方法については「トラフィック制御」の「アクセスリスト」をご覧ください。

基本動作

ハードウェアパケットフィルターの基本動作について説明します。

フィルターの構成

ハードウェアパケットフィルターは、複数のフィルターエントリーで構成されるリストです。個々のフィルターエントリーは、ハードウェアIPアクセスリストかハードウェアMACアクセスリスト、あるいは、ハードウェアアクセスリスト（シーケンス番号対応）内の各エントリーです。

フィルター処理の流れ

ハードウェアパケットフィルターの処理は、おおむね次の手順にしたがって行われます。

Note
以下の説明は、設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。あらかじめご了承ください。

受信スイッチポートにハードウェアパケットフィルター（インターフェース・ハードウェアパケットフィルター）が適用されている場合、受信パケットとアクセスリストの条件を、スイッチポートにアクセスリストを関連付けた順序で照合します。
- いずれかのアクセスリストにおいて条件が一致した場合は、その場でアクセスリストのアクション（転送、破棄など）を実行し、ハードウェアパケットフィルターの処理を完了します（手順2には進まない）。
- 受信スイッチポート上に一致するアクセスリストがなかった場合は手順2に進みます。また、受信スイッチポートにハードウェアパケットフィルターが適用されていない場合も同様です。
スイッチ全体にハードウェアパケットフィルター（グローバル・ハードウェアパケットフィルター）が適用されている場合、受信パケットとアクセスリストの条件を、スイッチ全体にアクセスリストを関連付けた順序で照合します。
- いずれかのアクセスリストにおいて条件が一致した場合は、その場でアクセスリストのアクション（転送、破棄など）を実行し、ハードウェアパケットフィルターの処理を完了します。
- スイッチ全体に一致するアクセスリストがなかった場合はハードウェアパケットフィルターの処理を完了し、通常どおりパケットの転送処理を実行します。また、スイッチ全体にハードウェアパケットフィルターが適用されていない場合も同様です。

Note
ハードウェアパケットフィルターは、スイッチ本体から送信されるパケットには適用されません。

次に、インターフェース・ハードウェアパケットフィルター、グローバル・ハードウェアパケットフィルターと、ポリシーマップによるQoS機能の処理順序を示します。

Note
ハードウェアパケットフィルターにマッチしたパケットに対して、ポリシーマップによるQoSは適用されません（ここでの「マッチ」とは、破棄（deny）だけでなく明示的な転送許可（permitなど）も含みます）。ハードウェアパケットフィルターで破棄（deny）のアクションだけを使用する場合は両者を併用しても問題はありませんが、ハードウェアパケットフィルターで破棄以外のアクションを使用する場合は、ハードウェアパケットフィルターとポリシーマップを併用せずに、ポリシーマップのフィルタリング機能を使ってフィルタリングを行ってください。

設定手順

ハードウェアパケットフィルターの設定は、次の流れで行います。

ハードウェアアクセスリストを作成。これには下記のコマンドを使います。
- IP： access-list(hardware ip)コマンド
- MAC： access-list(hardware mac)コマンド
- IP/MAC： access-list hardware(list)/access-list hardware(seq entry)コマンド
受信スイッチポートかスイッチ全体にアクセスリストを追加
特定のスイッチポートにアクセスリスト（IP、MAC、IP/MAC）を追加するときは、インターフェースモードのaccess-groupコマンドを、スイッチ全体に追加するときはグローバルコンフィグモードのaccess-groupコマンドを使います。

以下、各手順について詳しく解説します。

ここでは例として、スイッチポート1.0.12において、ホスト192.168.100.38からサーバー192.168.10.5と192.168.10.11宛てのIPパケットを遮断するよう設定します。

ハードウェアIPアクセスリストを作成し、IPパケットの条件とマッチしたときの処理を指定します。これにはaccess-list(hardware ip)コマンドを使います。

awplus(config)# access-list 3000 deny ip 192.168.100.38/32 192.168.10.5/32 ↓
awplus(config)# access-list 3001 deny ip 192.168.100.38/32 192.168.10.11/32 ↓
awplus(config)# access-list 3002 deny ip any 192.168.10.5/32 ↓

受信スイッチポートにハードウェアアクセスリストを追加します。interfaceコマンドで対象スイッチポートを指定してインターフェースモードに入り、access-groupコマンドで関連付けるハードウェアIPアクセスリストを指定します。
```
awplus(config)# interface port1.0.12 ↓
awplus(config-if)# access-group 3000 ↓
awplus(config-if)# access-group 3001 ↓
awplus(config-if)# exit ↓
```

Note
スイッチポートやスイッチ全体に対して、ハードウェアアクセスリストを複数追加した場合、受信パケットとアクセスリストの照合はアクセスリストの追加順に行われます。受信パケットがどのアクセスリストともマッチしなかった場合、該当パケットは許可されます。

Note
ハードウェアパケットフィルターは、スイッチ本体から送信されるパケットには適用されません。

基本設定は以上です。

■ トランクグループにハードウェアパケットフィルターを適用するときは、次の点にご注意ください。

スタティックチャンネルグループ（手動設定のトランクグループ）の場合は、インターフェース名「saX」（Xはスタティックチャンネルグループ番号）に対してアクセスリストを設定します。たとえば、スタティックチャンネルグループ「1」にハードウェアIPアクセスリスト3010を適用するには、次のようにします。
```
awplus(config)# interface sa1 ↓
awplus(config-if)# access-group 3010 ↓
```
スタティックチャンネルグループのメンバーポートに対してアクセスリストを適用することはできないので注意してください。
```
awplus(config)# interface port1.0.12 ↓
awplus(config-if)# access-group 3010 ↓
% ACL cannot be attached to an interface that is a member of a
  static-channel-group. Try attaching the ACL to "sa" interface.
```
LACPチャンネルグループ（自動設定のトランクグループ）の場合は、該当グループに所属しているすべてのスイッチポートに対してアクセスリストを設定します。たとえば、スイッチポート1.0.1～1.0.10からなるLACPチャンネルグループ「1」にハードウェアIPアクセスリスト3020を適用するには、次のようにしてください。
```
awplus(config)# interface port1.0.1-1.0.10 ↓
awplus(config-if)# access-group 3020 ↓
```
インターフェース名「poX」（XはLACPチャンネルグループ番号）に対してアクセスリストを適用することはできないので注意してください。
```
awplus(config)# interface po1 ↓
awplus(config-if)# access-group 3020 ↓
% ACL cannot be attached to a dynamic aggregator interface.
```

コマンド例

次に具体的なコマンド例を示します。

■ ポート1.0.1において、192.168.10.100から192.168.20.0/24へのIPパケットを破棄。

awplus(config)# access-list 3010 deny ip 192.168.10.100/32 192.168.20.0/24 ↓
awplus(config)# interface port1.0.1 ↓
awplus(config-if)# access-group 3010 ↓

■ ポート1.0.2～1.0.4において、10.0.0.0/8からのICMPパケットを破棄。

awplus(config)# access-list 3020 deny icmp 10.0.0.0/8 any ↓
awplus(config)# interface port1.0.2-1.0.4 ↓
awplus(config-if)# access-group 3020 ↓

■ ポート1.0.5において、MACアドレス00-0a-79-34-0b-00～00-0a-79-34-0b-ffからのパケットだけを許可。

awplus(config)# access-list 4010 permit 000a.7934.0b00 0000.0000.00ff any ↓
awplus(config)# access-list 4011 deny any any ↓
awplus(config)# interface port1.0.5 ↓
awplus(config-if)# access-group 4010 ↓
awplus(config-if)# access-group 4011 ↓

■ ポート1.0.8において、192.168.30.100へのtelnetパケットを破棄。

awplus(config)# access-list 3030 deny tcp any 192.168.30.100/32 eq 23 ↓
awplus(config)# interface port1.0.8 ↓
awplus(config-if)# access-group 3030 ↓

■ スイッチ全体（すべてのポート）において、終点ポート番号が60000以上のTCPパケットとUDPパケットを破棄。

awplus(config)# access-list 3035 deny tcp any any gt 59999 ↓
awplus(config)# access-list 3036 deny udp any any gt 59999 ↓
awplus(config)# access-group 3035 ↓
awplus(config)# access-group 3036 ↓

■ ハードウェアパケットフィルターは、ルーティングされない同一サブネット内のトラフィックに対しても有効です。そのため、「192.168.10.0/24の存在するポート1.0.1～1.0.12において、192.168.10.0/24から他のサブネットへのIP通信を拒否」するつもりで次のような設定を行うと、192.168.10.0/24内でもIP通信ができなくなってしまいます。

awplus(config)# access-list 3041 deny ip 192.168.10.0/24 any ↓
awplus(config)# interface port1.0.1-1.0.12 ↓
awplus(config-if)# access-group 3041 ↓

このような場合は、次の例のように「始点IPアドレスと終点IPアドレスが同一サブネットなら許可」というアクセスリストを拒否のアクセスリストの前に追加してください。

awplus(config)# access-list 3040 permit ip 192.168.10.0/24 192.168.10.0/24 ↓
awplus(config)# access-list 3041 deny ip 192.168.10.0/24 any ↓
awplus(config)# interface port1.0.1-1.0.12 ↓
awplus(config-if)# access-group 3040 ↓
awplus(config-if)# access-group 3041 ↓

Note
ハードウェアパケットフィルターでは、最初にマッチしたアクセスリストのアクションが実行されます。デフォルト拒否の設定を行うには、最初に特定の条件を満たしたパケットを許可するアクセスリストを並べた上で、最後にすべてを破棄するアクセスリストを指定します。また、デフォルト許可に設定する場合は、特定の条件を満たしたパケットを拒否するアクセスリストだけを並べていきます。つまり、ハードウェアパケットフィルター自体はデフォルト許可です。

■ どのスイッチポートにハードウェアパケットフィルターが適用されているかを調べるには、show interface access-groupコマンドを使います。

awplus> show interface port1.0.1-1.0.12 access-group ↓
Interface port1.0.12
  access-group 3000
  access-group 3001

■ アクセスリストの情報を表示するには、show access-listコマンドを使います。

awplus# show access-list ↓

■ スイッチポートからハードウェアパケットフィルターを削除するには、該当ポートを対象にしたインターフェースモードにおいて、access-groupコマンドをno形式で実行します。

awplus(config)# interface port1.0.1-1.0.12 ↓
awplus(config-if)# no access-group 3041 ↓
awplus(config-if)# no access-group 3040 ↓

Note
スイッチポートからハードウェアパケットフィルターを削除しても、ハードウェアアクセスリストそのものは削除されません。スイッチポートとハードウェアアクセスリストの関連付けが削除されるだけです。ハードウェアアクセスリストを削除するには、access-list(hardware ip)コマンド、access-list(hardware mac)コマンド、access-list hardware(list)コマンドをno形式で実行します。

シーケンス番号を利用した設定例

シーケンス番号での設定は、既存のフィルターに新たなエントリーを追加したいとき、頻繁にフィルターを変更する必要がある環境において有効な設定方法です。
シーケンス番号を使用していないハードウェアパケットフィルターは、新規ルールを追加するときに、追加したエントリーの順序まで設定されていたエントリーを削除する必要がありましたが、シーケンス番号を使用することで、エントリーを削除することなく、必要とする順序に新たなエントリーが追加できます。

シーケンス番号でのハードウェアパケットフィルターの処理は、次の手順に従って行われます。

シーケンス番号で作成したアクセスリストにおいて、条件が一致した場合、アクセスリストのアクション（転送、破棄など）を実行し、ハードウェアパケットフィルターの処理を完了する
フィルターのマッチは、シーケンス番号の若い順で行う
シーケンス番号で作成したアクセスリストを、アクセスグループとして複数を設定した場合、最初に設定したアクセスグループのシーケンス番号のフィルターがマッチされ、マッチするものが無ければ、次にアクセスグループのシーケンス番号の若い順という順序で行う
それ以外は、基本動作の処理と変わらない

以下にシーケンス番号を利用した具体的な設定例を示します。
シーケンス番号での設定は、access-list hardware(list)コマンド、access-list hardware(seq entry)コマンドを使用します。
ここでは例として、以下の条件で設定例を示します。

スイッチポート1.0.1において、192.168.100.0/24に所属するホストからネットワーク192.168.10.0/24、192.168.20.0/24と192.168.30.0/24へのIPパケットを遮断するよう設定する
スイッチポート1.0.1において、192.168100.0/24に所属するホストから192.168.20.10のみTCP 80(HTTP)を許可するよう設定する
スイッチポート1.0.1において、192.168.100.0/24に所属するホストからネットワーク192.168.30.0/24のIPパケットを遮断するエントリーを削除する
スイッチポート1.0.1において、エントリーの順序を変更する
装置を再起動する

■ ポート1.0.1において、192.168.100.0/24に所属するホストから192.168.10.0/24、192.168.20.0/24と192.168.30.0/24へのIPパケットを破棄するよう設定します。

awplus(config)# access-list hardware mylist ↓
awplus(config-ip-hw-acl)# deny ip 192.168.100.0/24 192.168.10.0/24 ↓
awplus(config-ip-hw-acl)# deny ip 192.168.100.0/24 192.168.20.0/24 ↓
awplus(config-ip-hw-acl)# deny ip 192.168.100.0/24 192.168.30.0/24 ↓
awplus(config-ip-hw-acl)# exit ↓
awplus(config)# interface port1.0.1 ↓
awplus(config-if)# access-group mylist ↓

■ ポート1.0.1において、192.168.100.0/24から192.168.20.10/32へのTCP 80(HTTP)のアクセスのみを許可するエントリーを追加します。このエントリーは、192.168.100.0/24に所属するホストから192.168.20.0/24へのIPパケットは破棄と設定しているため、それより前にエントリーを設定する必要があります。そのためには、まず、現在設定されているシーケンス番号を確認します。シーケンス番号を確認するには、show access-listコマンドを使います。

awplus# show access-list mylist ↓
Hardware IP access list mylist
   10 deny ip 192.168.100.0/24 192.168.10.0/24
   20 deny ip 192.168.100.0/24 192.168.20.0/24
   30 deny ip 192.168.100.0/24 192.168.30.0/24
awplus#

Note
シーケンス番号を指定しないで設定した場合、10ステップで自動にシーケンス番号が設定されます。

TCP 80へのアクセス許可は、20より前のシーケンス番号のエントリーを入れる必要があります。例として、シーケンス番号15で登録します。

awplus(config)# access-list hardware mylist ↓
% This access-list is attached to an interface. The modified configuration will be applied to the interface automatically after exiting
this configration mode  by entering "exit" or "end" command.
awplus(config-ip-hw-acl)# 15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80 ↓
awplus(config-ip-hw-acl)# exit ↓
awplus(config)#

Note
アクセスグループを設定している場合、エントリーの追加はaccess-list hardware(list)コマンドの変更のみで可能です。

Note
アクセスグループを設定している場合、ハードウェアパケットフィルターのシーケンス番号を利用して設定変更した場合、設定内容が適用されるタイミングは、ハードウェアアクセスリストモードから、ExitまたはEndを実行し、グローバルコンフィグレーションモードまたは特権EXECモードに移行したときになります。それまでは、設定変更前のフィルター設定が動作します。

show access-listコマンドで設定が反映されていることを確認します。

awplus# show access-list mylist ↓
Hardware IP access list mylist
   10 deny ip 192.168.100.0/24 192.168.10.0/24
   15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80
   20 deny ip 192.168.100.0/24 192.168.20.0/24
   30 deny ip 192.168.100.0/24 192.168.30.0/24
awplus#

■ ポート1.0.1において、192.168.100.0/24に所属するホストから192.168.30.0/24へのIPパケットを破棄するフィルターを削除します。

エントリーの削除は、access-list hardware(seq entry)コマンドのno形式でシーケンス番号のみを指定することで削除できます。

awplus(config)# access-list hardware mylist ↓
% This access-list is attached to an interface. The modified configuration will be applied to the interface automatically after exiting
this configration mode  by entering "exit" or "end" command.
awplus(config-ip-hw-acl)# no 30 ↓
awplus(config-ip-hw-acl)# exit ↓
awplus(config)#

また、シーケンス番号を指定せず、フィルターをそのまま指定しても、エントリーを削除できます。

awplus(config)# access-list hardware mylist ↓
% This access-list is attached to an interface. The modified configuration will be applied to the interface automatically after exiting
this configration mode  by entering "exit" or "end" command.
awplus(config-ip-hw-acl)# no deny ip 192.168.100.0/24 192.168.30.0/24 ↓
awplus(config-ip-hw-acl)# exit ↓
awplus(config)#

show access-listコマンドで設定が反映されていることを確認します。

awplus# show access-list mylist ↓
Hardware IP access list mylist
   10 deny ip 192.168.100.0/24 192.168.10.0/24
   15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80
   20 deny ip 192.168.100.0/24 192.168.20.0/24
awplus#

■ ポート1.0.1において、192.168.100.0/24に所属するホストから192.168.10.0/24へのIPパケットを破棄するエントリーの場所を移動します。

show access-listコマンドで設定内容を確認します。

awplus# show access-list mylist ↓
Hardware IP access list mylist
   10 deny ip 192.168.100.0/24 192.168.10.0/24
   15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80
   20 deny ip 192.168.100.0/24 192.168.20.0/24
awplus#

シーケンス番号10であることを確認し、192.168.100.0/24に所属するホストから192.168.20.0/24へのIPパケットを破棄するエントリーの前にエントリーを移動します。

awplus(config)# access-list hardware mylist ↓
% This access-list is attached to an interface. The modified configuration will be applied to the interface automatically after exiting
this configration mode  by entering "exit" or "end" command.
awplus(config-ip-hw-acl)# 17 deny ip 192.168.100.0/24 192.168.10.0/24 ↓
awplus(config-ip-hw-acl)# exit ↓
awplus(config)#

show access-listコマンドで設定が反映されていることを確認します。

awplus# show access-list mylist ↓
Hardware IP access list mylist
   15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80
   17 deny ip 192.168.100.0/24 192.168.10.0/24
   20 deny ip 192.168.100.0/24 192.168.20.0/24
awplus#

Note
アクセスリスト内で同じ条件とアクションを持つエントリーをシーケンス番号で指定して新たに設定した場合、設定したシーケンス番号にエントリーは移動します。

■ 設定を保存後に機器を再起動します。

機器を再起動したとき、設定したシーケンス番号は10ステップに変換されます。(フィルター順序は変わりません)

設定後

awplus# show access-list mylist ↓
Hardware IP access list mylist
   15 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80
   17 deny ip 192.168.100.0/24 192.168.10.0/24
   20 deny ip 192.168.100.0/24 192.168.20.0/24
awplus#

再起動後

awplus# show access-list mylist ↓
Hardware IP access list mylist
   10 permit tcp 192.168.100.0/24 192.168.20.10/32 eq 80
   20 deny ip 192.168.100.0/24 192.168.10.0/24
   30 deny ip 192.168.100.0/24 192.168.20.0/24
awplus#

PN: 613-002362 Rev.G