[index] SwitchBlade x3100シリーズコマンドリファレンス

スイッチング / ハードウェアパケットフィルター

  - 基本動作 
   - フィルターの構成 
    - フィルター処理の流れ 
   - 設定手順 
   - コマンドの使用例

ハードウェアパケットフィルターは、ハードウェア（ASIC）レベルで入力パケットをフィルタリング（許可・拒否）する機能です。

ハードウェアパケットフィルターには以下の特長があります。

ハードウェアで処理するため高速
MGMTポートを含む入力ポート単位でフィルタリングが可能

パケットのフィルタリング条件には、以下の各項目を使用できます。

Ethernetの送信元・宛先MACアドレス、フレームフォーマットとプロトコルタイプ（タグ付き、タグなし）
入力VLAN
802.1pプライオリティー値
IPヘッダーのTOS優先度（precedence）またはDSCP（DiffServ Code Point）、プロトコル、始点・終点IPアドレス
TCPヘッダーの始点・終点ポート、制御フラグのフィールド値
UDPヘッダーの始点・終点ポート

条件に一致したパケットに対しては、以下の処理（アクション）が可能です。

許可（PERMIT）
破棄（DENY）

基本動作

ハードウェアパケットフィルターの基本動作について説明します。

フィルターの構成

ハードウェアパケットフィルターは、複数のエントリーをリストとして保持する「アクセスコントロールリスト（ACL）」から構成されます。エントリーは、アクション、および適用対象のスイッチポート（入力ポート）で構成されます。

ACLの仕様は、次のとおりです。

最大エントリー数は96個まで作成可能（XE4、XE6SFPは4ポートで96個まで。GE24POE、GE24SFP、GE24RJは1ポートで44個まで）。
同一ポートに複数のエントリーを割り当てることができる（ただし、同じクラシファイアを含むエントリーを、同一ポートに割り当てることはできない）。
同一エントリーを複数ポートに割り当てることができる。

Note - 本製品では、ACL内のルールに一致しないパケットに対してのアクションを規定するために、デフォルトルールが自動的にACLの最後に追加されます。デフォルトルールは、CREATE ACCESSLISTコマンドまたは SET ACCESSLIST RULEコマンドで、DENY/PERMITを選択できます。

Note - ACLはクラシファイアなどでも使用します。そのため上記のエントリー数を超えていない場合でも、警告メッセージが表示される場合があります。

フィルター処理の流れ

ハードウェアパケットフィルターでは、パケット受信時に次の処理が行われます。

受信したパケットがエントリーにマッチするかどうか、ACLのエントリーIDの番号順に調べます。
条件にマッチした場合は、残りの条件は調べずに、その条件のアクションをします。
エントリーにマッチしないパケットを出力します。

Note - 設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。

設定手順

ACLの設定手順について説明します。

ACL名「stb_range」を作成し、許可するIPアドレスを指定します。
ACL名「stb_range」にARPパケットを許可する設定を追加します。ARPのプロトコルタイプは「0x806」。
許可した範囲の中で拒否するパケットをACL名「stb_range」に最優先で追加します。
ACL名「stb_range」とインターフェースの関連付けを行います。

ACL名「stb_range」の設定を確認します。

officer SEC>> SHOW ACCESSLIST=stb_range ↓ --- Access Lists -------------------------------------------------------------- Name Interfaces Rule Action Fields --------- -------------- ---- ------- ------------------------------- -------- stb_range ETH:[9.0] 1 DENY APPLICATION=NETBIOS 2 PERMIT IPSOURCE=172.16.5.0 SOURCEMASK=255.255.255.240 3 PERMIT PROTOCOL=2054 -- DENY -------------------------------------------------------------------------------

基本設定は以上です。

コマンドの使用例

■ 送信元MACアドレスが、00-00-f4-33-22-11のパケットを破棄


officer SEC>> CREATE ACCESSLIST=stb_mac RULE=DENY MACSOURCE=00-00-f4-33-22-11  ↓

■ 192.168.10.100から192.168.20.0へのIPパケットを破棄


officer SEC>> CREATE ACCESSLIST=stb_IP RULE=DENY IPSOURCE=192.168.10.100 IPDEST=192.168.20.0 ↓

■ 192.168.30.100へのtelnetパケットを破棄。


officer SEC>> CREATE ACCESSLIST=stb_tel RULE=DENY IPDEST=192.168.30.100 APPLICATION=TELNET TCPPORTDEST=23  ↓

■ 192.168.20.100のみ双方向の通信が可能。


officer SEC>> CREATE ACCESSLIST=stb_IP RULE=PERMIT IPSOURCE=192.168.20.100 ↓

officer SEC>> ADD ACCESSLIST=stb_IP RULE=PERMIT IPDEST=192.168.20.100 ↓

■ ARPのみ双方向の通信が可能。


officer SEC>> CREATE ACCESSLIST=stb_IP RULE=PERMIT PROTOCOL=0x806 ↓

■ ACLの一覧を表示するには、SHOW ACCESSLISTコマンドを使います。


officer SEC>> SHOW ACCESSLIST ↓

officer SEC>> SHOW ACCESSLIST=stb_IP ↓

■ ACLからエントリーを削除するには、DELETE ACCESSLIST RULEコマンドを使います。


officer SEC>> DELETE ACCESSLIST=stb_IP RULE=PERMIT ↓

PN: 613-001335 Rev.C