[index] CentreCOM x600シリーズ コマンドリファレンス 5.3.3
- 基本動作 - フィルターの構成 - フィルター処理の流れ - 設定手順 - コマンド例
Note - 同一ポート上において、ハードウェアパケットフィルターとポリシーマップを併用することも可能です。その場合、該当ポートで受信したパケットの処理は、ハードウェアパケットフィルター、ポリシーマップの順に行われます。両方を通過しないとパケットは出力されません。詳細は本解説編の「フィルター処理の流れ」をご覧ください。
Note - ハードウェアパケットフィルターでは、入力VLAN、IPヘッダーのDSCP値やTOS優先度値、TCPヘッダーの制御フラグ値などに基づくフィルタリングはできません。これらの条件でフィルタリングを行いたい場合は、ポリシーマップのフィルタリング機能を利用してください。詳しくは、「トラフィック制御」の「Quality of Service」をご覧ください(「ポリシーマップのフィルタリング機能」他)。
Note - 以下の説明は、設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。あらかじめご了承ください。
Note - ハードウェアパケットフィルターは、スイッチ本体から送信されるパケットには適用されません。
Note - 同一ポート上において、ハードウェアパケットフィルターとポリシーマップを併用している場合、該当ポートで受信したパケットの処理はハードウェアパケットフィルター、ポリシーマップの順に行われます。両方を通過しないとパケットは出力されません。
awplus(config)# access-list 3000 deny ip 192.168.100.38/32 192.168.10.5/32 ↓ awplus(config)# access-list 3001 deny ip 192.168.100.38/32 192.168.10.11/32 ↓ |
awplus(config)# interface port1.0.13 ↓ awplus(config-if)# ip access-group 3000 ↓ awplus(config-if)# ip access-group 3001 ↓ awplus(config-if)# exit ↓ |
Note - 1つのスイッチポートに対して、ハードウェアアクセスリストを複数追加した場合、受信パケットとアクセスリストの照合はアクセスリストの追加順に行われます。受信パケットがどのアクセスリストともマッチしなかった場合、該当パケットは許可されます。
Note - ハードウェアパケットフィルターは、スイッチ本体から送信されるパケットには適用されません。
awplus(config)# interface sa1 ↓ awplus(config-if)# ip access-group 3010 ↓ |
awplus(config)# interface port1.0.12 ↓ awplus(config-if)# ip access-group 3010 ↓ % ACL cannot be attached to an interface that is a member of a static-channel-group. Try attaching the ACL to "sa" interface. |
awplus(config)# interface port1.0.1-1.0.10 ↓ awplus(config-if)# ip access-group 3020 ↓ |
awplus(config)# interface po1 ↓ awplus(config-if)# ip access-group 3020 ↓ % ACL cannot be attached to a dynamic aggregator interface. |
awplus(config)# access-list 3010 deny ip 192.168.10.100/32 192.168.20.0/24 ↓ awplus(config)# interface port1.0.1 ↓ awplus(config-if)# ip access-group 3010 ↓ |
awplus(config)# access-list 3020 deny icmp 10.0.0.0/8 any ↓ awplus(config)# interface port1.0.2-1.0.4 ↓ awplus(config-if)# ip access-group 3020 ↓ |
awplus(config)# access-list 4010 permit 000a.7934.0b00 0000.0000.00ff any ↓ awplus(config)# access-list 4011 deny any any ↓ awplus(config)# interface port1.0.5 ↓ awplus(config-if)# mac access-group 4010 ↓ awplus(config-if)# mac access-group 4011 ↓ |
awplus(config)# access-list 3030 deny tcp any 192.168.30.100/32 eq 23 ↓ awplus(config)# interface port1.0.8 ↓ awplus(config-if)# ip access-group 3030 ↓ |
awplus(config)# access-list 3041 deny ip 192.168.10.0/24 any ↓ awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# ip access-group 3041 ↓ |
awplus(config)# access-list 3040 permit ip 192.168.10.0/24 192.168.10.0/24 ↓ awplus(config)# access-list 3041 deny ip 192.168.10.0/24 any ↓ awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# ip access-group 3040 ↓ awplus(config-if)# ip access-group 3041 ↓ |
Note - ハードウェアパケットフィルターでは、最初にマッチしたアクセスリストのアクションが実行されます。デフォルト拒否の設定を行うには、最初に特定の条件を満たしたパケットを許可するアクセスリストを並べた上で、最後にすべてを破棄するアクセスリストを指定します。また、デフォルト許可に設定する場合は、特定の条件を満たしたパケットを拒否するアクセスリストだけを並べていきます。つまり、ハードウェアパケットフィルター自体はデフォルト許可です。
awplus> show interface port1.0.1-1.0.24 access-group ↓ Interface port1.0.13 access-group 3000 access-group 3001 |
awplus# show access-list ↓ |
awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# no ip access-group 3041 ↓ awplus(config-if)# no ip access-group 3040 ↓ |
Note - スイッチポートからハードウェアパケットフィルターを削除しても、ハードウェアアクセスリストそのものは削除されません。スイッチポートとハードウェアアクセスリストの関連付けが削除されるだけです。ハードウェアアクセスリストを削除するには、access-list(hardware ip)コマンド、access-list(hardware mac)コマンドをno形式で実行します。
(C) 2008 - 2010 アライドテレシスホールディングス株式会社
PN: 613-001070 Rev.F