[index]
CentreCOM IA810M コマンドリファレンス 2.3.2
ハードウェアパケットフィルター/概要・基本設定
- 基本動作
- フィルターの構成
- フィルター処理の流れ
- 設定手順
- コマンド例
- 設定例
- 特定スイッチポートからのみUDP通信を許可
- TCP片方向通信
- 注意事項
- 本体宛てのパケット
ハードウェアパケットフィルターは、ハードウェア(ASIC)レベルで入力パケットをフィルタリング(許可・拒否)する機能です。
ハードウェアパケットフィルターには以下の特長があります。
- ハードウェアで処理するため高速
- 入力ポート単位でフィルタリングが可能
パケットのフィルタリング条件には、以下の各項目を使用できます。フィルタリング条件は、汎用のパケットフィルターであるクラシファイアによって定義します。クラシファイアの詳細については「クラシファイア」の章をご覧ください。
- Ethernetの送信元・宛先MACアドレス、フレームフォーマットとプロトコルタイプ(タグ付き、タグなし)
- 入力VLAN
- 802.1pプライオリティー値
- IPヘッダーのTOS優先度(precedence)またはDSCP(DiffServ Code Point)、プロトコル、始点・終点IPアドレス
- TCPヘッダーの始点・終点ポート、制御フラグのフィールド値
- UDPヘッダーの始点・終点ポート
条件に一致したパケットに対しては、以下の処理(アクション)が可能です。
以下では、コマンドラインインターフェースによる設定方法を中心に説明します。なお、Web GUIでは「スイッチ設定」-「ハードウェアフィルター」で設定できます。(詳細は「Web GUI」/「スイッチ設定」をご覧ください。
ハードウェアパケットフィルターの基本動作について説明します。
ハードウェアパケットフィルターは、複数のエントリーをリストとして保持する「アクセスコントロールリスト(ACL)」から構成されます。エントリーは、クラシファイア(汎用パケットフィルター)とアクション、および適用対象のスイッチポート(入力ポート)で構成されます。
エントリーの構成は、次のとおりです。
表 1
| ACL |
エントリーのID |
| DESCRIPTION |
エントリーの説明 |
| ACTION |
マッチした場合のアクション |
| CLASSIFIERLIST |
エントリーに割り当てるクラシファイアのID |
| PORTLIST |
エントリーに割り当てるポート |
ACLの仕様は、次のとおりです。
- 最大エントリー数は64個
- 同一ポートに複数のエントリーを割り当てることができる(ただし、同じクラシファイアを含むエントリーを、同一ポートに割り当てることはできない)
- 同一エントリーを複数ポートに割り当てることができる
- 1ポートに割り当てられるクラシファイアの数は、128個まで(ポリシーベースQoSとハードウェアパケットフィルター機能合わせて)
ハードウェアパケットフィルターでは、パケット受信時に次の処理が行われます。
- 受信したパケットがエントリーにマッチするかどうか、ACLのエントリーIDの番号順に調べます。
- 条件にマッチした場合は、残りの条件は調べずに、その条件のアクションをします。
- エントリーにマッチしないパケットを出力します。
Note
- 設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。
ハードウェアパケットフィルターの設定は、次の流れで行います。
- クラシファイアの作成(CREATE CLASSIFIERコマンド)
- ACLのエントリーの作成(CREATE ACLコマンド)
以下、各手順について詳しく解説します。
ここでは例として、ポート8に接続されているクライアントから、サーバー192.168.10.5宛てのパケットを遮断するよう設定します。
- クラシファイアを作成します。詳細は「クラシファイア」の章をご覧ください。
CREATE CLASSIFIER=1 IPDADDR=192.168.10.5 ↓
- ACLにエントリーを追加します。エントリーを追加するには、クラシファイア、マッチ時のアクション(許可か破棄)、エントリーを適用する入力ポートの指定が必要です。
CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=8 ↓
基本設定は以上です。
■ 送信元MACアドレスが、00-00-f4-33-22-11のパケットを破棄
CREATE CLASSIFIER=1 MACSADDR=00-00-f4-33-22-11 ↓
CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=6 ↓
■ 192.168.10.100から192.168.20.0/24へのIPパケットを破棄
CREATE CLASSIFIER=1 IPSADDR=192.168.10.100/32 IPDADDR=192.168.20.0/24 ↓
CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=5 ↓
■ 192.168.30.100へのtelnetパケットを破棄。
CREATE CLASSIFIER=1 IPDADDR=192.168.30.100/32 TCPDPORT=23 ↓
CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=4 ↓
■ 192.168.20.100のみ双方向の通信が可能。
CREATE CLASSIFIER=1 IPDADDR=192.168.20.100/32 ↓
CREATE CLASSIFIER=2 IPSADDR=192.168.20.100/32 ↓
CREATE CLASSIFIER=3 PROTOCOL=ARP ↓
CREATE CLASSIFIER=4 ↓
CREATE ACL=1 ACTION=PERMIT CLASSIFIERLIST=1 PORTLIST=ALL ↓
CREATE ACL=2 ACTION=PERMIT CLASSIFIERLIST=2 PORTLIST=ALL ↓
CREATE ACL=3 ACTION=PERMIT CLASSIFIERLIST=3 PORTLIST=ALL ↓
CREATE ACL=4 ACTION=DENY CLASSIFIERLIST=4 PORTLIST=ALL ↓
■ ARPのみ双方向の通信が可能。
CREATE CLASSIFIER=1 PROTOCOL=ARP ↓
CREATE CLASSIFIER=2 PROTOCOL=ANY ↓
CREATE ACL=1 ACTION=PERMIT CLASSIFIERLIST=1 PORTLIST=ALL ↓
CREATE ACL=2 ACTION=DENY CLASSIFIERLIST=2 PORTLIST=ALL ↓
■ ACLの一覧を表示するには、SHOW ACLコマンドを使います。
■ クラシファイアの一覧を表示するには、SHOW CLASSIFIERコマンドを実行します。CLASSIFIERパラメーターに番号を指定すれば、該当するクラシファイアのみが表示されます。
SHOW CLASSIFIER ↓
SHOW CLASSIFIER=1-3 ↓
■ ACLからエントリーを削除するには、DESTROY ACLコマンドを使います。
Note
- ACLからエントリーを削除しても、クラシファイアは削除されません。ACLとクラシファイアの関連付けが削除されるだけです。クラシファイアを削除するには、DESTROY CLASSIFIERコマンドを使います。
ハードウェアパケットフィルターを利用して、特定ポートからのみUDP通信を許可する設定例を示します。ここでは、次のようなネットワーク構成を例に説明します。
表 2
| VLAN名(VID) |
untaggedポート |
taggedポート |
| default(1) |
1〜10 |
なし |
ここでは、次のようなフィルタリング条件を考えます。
- UDPトラフィックは原則として拒否する。
- ただし、ポート1、10のUDP通信を許可する。
ポート単位でのフィルタリングには、DHCPクライアントのIPアドレスが変更された場合でも対応できるメリットがあります。
ハードウェアパケットフィルターの設定を行います。
- クラシファイアを作成します。ここではUDPトラフィックだけを対象とするため、IPプロトコルフィールド(IPPROTOCOL)に UDP を指定します。
CREATE CLASSIFIER=1 IPPROTOCOL=UDP ↓
- ポートとアクションを指定し、ACLにエントリーを追加します。 ここでは受信ポートが2〜9のトラフィックを破棄するよう指定します。
CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=2-9 ↓
設定は以上です。
マッチ条件としてTCPの制御フラグSynを使用し、192.168.10.100からのみTCPの通信を開始できるように設定します。
表 3
| VLAN名(VID) |
untaggedポート |
taggedポート |
IPアドレス |
| default(1) |
1〜10 |
なし |
192.168.10.1 |
ここでは、次のようなフィルタリング条件を考えます。
- TCPは192.168.10.100から192.168.10.10への通信(セッション開始)のみを許可。192.168.10.10から192.168.10.100への通信は拒否する。
- その他のプロトコルはすべて許可する。
- クラシファイアの設定を行います。
ここでは始点IPアドレスに192.168.10.10、終点IPアドレスに192.168.10.100、TCPヘッダー制御フラグ(TCPFLAGS)にSYNを指定します。
CREATE CLASSIFIER=1 IPSADDR=192.168.10.10 IPDADDR=192.168.10.100 TCPFLAGS=SYN ↓
- アクションを指定し、ACLにエントリーを追加します。
CREATE ACL=1 ACTION=DENY CLASSIFIERLIST=1 PORTLIST=10 ↓
設定は以上です。
ここでは、設定時に注意が必要なハードウェアパケットフィルターの仕様について解説します。
スイッチ本体(CPU)宛てのパケットに対し、ハードウェアパケットフィルター機能は動作します。
(C) 2011 アライドテレシスホールディングス株式会社
PN: 613-001583 Rev.A