[index] CentreCOM x900シリーズ・SwitchBlade x908 コマンドリファレンス 5.3.2

トラフィック制御 / ハードウェアパケットフィルター

  - 基本動作
   - フィルターの構成
   - フィルター処理の流れ
  - 設定手順
  - コマンド例
  - ハードウェアパケットフィルターのルール領域消費量

ハードウェアパケットフィルターは、本製品のスイッチングチップ（ASIC）でパケットフィルタリングを行う機能です。

ハードウェアパケットフィルターの処理は、スイッチングチップのL2入力部で行われます。そのため、ルーティングされないトラフィック（同一VLAN内のトラフィック）に対してもフィルタリングが可能です。たとえば、IPルーティングを行っていない状態、すなわち本製品をレイヤー2スイッチとして使用している場合でもIPパケットをフィルタリングすることができます。

Note - 同一ポート上において、ハードウェアパケットフィルターとポリシーマップを併用することは可能です。該当ポートで受信したパケットの処理は、ハードウェアパケットフィルター、ポリシーマップの順に行われます。ただし、次項で述べる制限事項があるので注意してください。

Note - ハードウェアパケットフィルターにマッチしたパケットに対して、ポリシーマップによるQoSは適用されません（ここでの「マッチ」とは、破棄（deny）だけでなく明示的な転送許可（permitなど）も含みます）。ハードウェアパケットフィルターで破棄（deny）のアクションだけを使用する場合は両者を併用しても問題はありませんが、ハードウェアパケットフィルターで破棄以外のアクションを使用する場合は、ハードウェアパケットフィルターとポリシーマップを併用せずに、ポリシーマップのフィルタリング機能を使ってフィルタリングを行ってください。

パケットのフィルタリング条件には、以下の各項目を使用できます。

Ethernetヘッダー
- 送信元MACアドレス
- 宛先MACアドレス
IPヘッダー
- 始点IPアドレス
- 終点IPアドレス
- 上位プロトコル（IPすべて、TCP、UDP、ICMP、任意のプロトコルタイプ）
TCP/UDPヘッダー
- 始点ポート番号
- 終点ポート番号
ICMPヘッダー
- メッセージタイプ

Note - ハードウェアパケットフィルターでは、入力VLAN、IPヘッダーのDSCP値やTOS優先度値、TCPヘッダーの制御フラグ値などに基づくフィルタリングはできません。これらの条件でフィルタリングを行いたい場合は、ポリシーマップのフィルタリング機能を利用してください。詳しくは、「トラフィック制御」の「Quality of Service」をご覧ください（「ポリシーマップのフィルタリング機能」他）。

条件に一致したパケットに対しては、以下の処理（アクション）が可能です。アクションは最初に一致したフィルターエントリー（ハードウェアアクセスリスト）で適用されます。どのエントリーにも一致しなかったパケットは通常どおり転送処理されます。

通常転送（permit）
破棄（deny）
通常転送＋ CPUにコピー（copy-to-cpu）
破棄＋ CPUに転送（send-to-cpu）
通常転送＋ミラーポートにコピー（copy-to-mirror）

フィルタリング条件と処理内容は、ハードウェアアクセスリストによって定義します。ハードウェアアクセスリストの概要と作成方法については「トラフィック制御」の「アクセスリスト」をご覧ください。

基本動作

ハードウェアパケットフィルターの基本動作について説明します。

フィルターの構成

ハードウェアパケットフィルターは、複数のフィルターエントリーで構成されるリストです。個々のフィルターエントリーは、ハードウェアIPアクセスリストかハードウェアMACアクセスリストです。

フィルター処理の流れ

ハードウェアパケットフィルターの処理は、おおむね次の手順にしたがって行われます。

Note - 以下の説明は、設定上の便宜を最優先して書いたものであり、実際の内部動作を正確に記述したものではありません。あらかじめご了承ください。

受信スイッチポートにハードウェアパケットフィルター（インターフェース・ハードウェアパケットフィルター）が適用されている場合、受信パケットとアクセスリストの条件を、スイッチポートにアクセスリストを関連付けた順序で照合します。
- いずれかのアクセスリストにおいて条件が一致した場合は、その場でアクセスリストのアクション（転送、破棄など）を実行し、ハードウェアパケットフィルターの処理を完了します（手順2には進まない）。
- 受信スイッチポート上に一致するアクセスリストがなかった場合は手順2に進みます。また、受信スイッチポートにハードウェアパケットフィルターが適用されていない場合も同様です。
スイッチ全体にハードウェアパケットフィルター（グローバル・ハードウェアパケットフィルター）が適用されている場合、受信パケットとアクセスリストの条件を、スイッチ全体にアクセスリストを関連付けた順序で照合します。
- いずれかのアクセスリストにおいて条件が一致した場合は、その場でアクセスリストのアクション（転送、破棄など）を実行し、ハードウェアパケットフィルターの処理を完了します。
- スイッチ全体に一致するアクセスリストがなかった場合はハードウェアパケットフィルターの処理を完了し、通常どおりパケットの転送処理を実行します。また、スイッチ全体にハードウェアパケットフィルターが適用されていない場合も同様です。

Note - ハードウェアパケットフィルターは、スイッチ本体から送信されるパケットには適用されません。

次に、インターフェース・ハードウェアパケットフィルター、グローバル・ハードウェアパケットフィルターと、ポリシーマップによるQoS機能の処理順序を次に示します。

Note - ハードウェアパケットフィルターにマッチしたパケットに対して、ポリシーマップによるQoSは適用されません（ここでの「マッチ」とは、破棄（deny）だけでなく明示的な転送許可（permitなど）も含みます）。ハードウェアパケットフィルターで破棄（deny）のアクションだけを使用する場合は両者を併用しても問題はありませんが、ハードウェアパケットフィルターで破棄以外のアクションを使用する場合は、ハードウェアパケットフィルターとポリシーマップを併用せずに、ポリシーマップのフィルタリング機能を使ってフィルタリングを行ってください。

設定手順

ハードウェアパケットフィルターの設定は、次の流れで行います。

ハードウェアアクセスリストを作成（access-list(hardware ip)コマンド、access-list(hardware mac)コマンド）
受信スイッチポートかスイッチ全体にアクセスリストを追加
特定のスイッチポートにアクセスリストを追加するときは、インターフェースモードのip access-groupコマンド、mac access-groupコマンドを、スイッチ全体に追加するときはグローバルコンフィグモードのip access-groupコマンド、mac access-groupコマンドを使います。

以下、各手順について詳しく解説します。

ここでは例として、スイッチポート1.0.13において、ホスト192.168.100.38からサーバー192.168.10.5と192.168.10.11宛てのIPパケットを遮断するよう設定します。また、スイッチ全体（すべてのポート）において、ネットワーク10.255.255.0/24宛てのIPパケットを遮断するよう設定します。

ハードウェアIPアクセスリストを作成し、IPパケットの条件とマッチしたときの処理を指定します。これにはaccess-list(hardware ip)コマンドを使います。

awplus(config)# access-list 3000 deny ip 192.168.100.38/32 192.168.10.5/32 ↓ awplus(config)# access-list 3001 deny ip 192.168.100.38/32 192.168.10.11/32 ↓ awplus(config)# access-list 3101 deny ip any 10.255.255.0/24 ↓

受信スイッチポートにハードウェアアクセスリストを追加します。interfaceコマンドで対象スイッチポートを指定してインターフェースモードに入り、ip access-groupコマンドで関連付けるハードウェアIPアクセスリストを指定します。
awplus(config)# interface port1.0.13 ↓ awplus(config-if)# ip access-group 3000 ↓ awplus(config-if)# ip access-group 3001 ↓ awplus(config-if)# exit ↓
スイッチ全体にハードウェアアクセスリストを追加します。これには、グローバルコンフィグモードのip access-groupコマンドを使います。
awplus(config)# ip access-group 3101 ↓

Note - スイッチポートやスイッチ全体に対して、ハードウェアアクセスリストを複数追加した場合、受信パケットとアクセスリストの照合はアクセスリストの追加順に行われます。受信パケットがどのアクセスリストともマッチしなかった場合、該当パケットは許可されます。

Note - ハードウェアパケットフィルターは、スイッチ本体から送信されるパケットには適用されません。

基本設定は以上です。

■ トランクグループにハードウェアパケットフィルターを適用するときは、次の点にご注意ください。

スタティックチャンネルグループ（手動設定のトランクグループ）の場合は、インターフェース名「saX」（Xはスタティックチャンネルグループ番号）に対してアクセスリストを設定します。たとえば、スタティックチャンネルグループ「1」にハードウェアIPアクセスリスト3010を適用するには、次のようにします。

awplus(config)# interface sa1 ↓ awplus(config-if)# ip access-group 3010 ↓

スタティックチャンネルグループのメンバーポートに対してアクセスリストを適用することはできないので注意してください。

awplus(config)# interface port1.0.12 ↓ awplus(config-if)# ip access-group 3010 ↓ % ACL cannot be attached to an interface that is a member of a static-channel-group. Try attaching the ACL to "sa" interface.

LACPチャンネルグループ（自動設定のトランクグループ）の場合は、該当グループに所属しているすべてのスイッチポートに対してアクセスリストを設定します。たとえば、スイッチポート1.0.1～1.0.10からなるLACPチャンネルグループ「1」にハードウェアIPアクセスリスト3020を適用するには、次のようにしてください。
awplus(config)# interface port1.0.1-1.0.10 ↓ awplus(config-if)# ip access-group 3020 ↓
インターフェース名「poX」（XはLACPチャンネルグループ番号）に対してアクセスリストを適用することはできないので注意してください。
awplus(config)# interface po1 ↓ awplus(config-if)# ip access-group 3020 ↓ % ACL cannot be attached to a dynamic aggregator interface.

コマンド例

次に具体的なコマンド例を示します。

■ ポート1.0.1において、192.168.10.100から192.168.20.0/24へのIPパケットを破棄。

awplus(config)# access-list 3010 deny ip 192.168.10.100/32 192.168.20.0/24 ↓ awplus(config)# interface port1.0.1 ↓ awplus(config-if)# ip access-group 3010 ↓

■ ポート1.0.2～1.0.4において、10.0.0.0/8からのICMPパケットを破棄。

awplus(config)# access-list 3020 deny icmp 10.0.0.0/8 any ↓ awplus(config)# interface port1.0.2-1.0.4 ↓ awplus(config-if)# ip access-group 3020 ↓

■ ポート1.0.5において、MACアドレス00-0a-79-34-0b-00～00-0a-79-34-0b-ffからのパケットだけを許可。

awplus(config)# access-list 4010 permit 000a.7934.0b00 0000.0000.00ff any ↓ awplus(config)# access-list 4011 deny any any ↓ awplus(config)# interface port1.0.5 ↓ awplus(config-if)# mac access-group 4010 ↓ awplus(config-if)# mac access-group 4011 ↓

■ ポート1.0.8において、192.168.30.100へのtelnetパケットを破棄。

awplus(config)# access-list 3030 deny tcp any 192.168.30.100/32 eq 23 ↓ awplus(config)# interface port1.0.8 ↓ awplus(config-if)# ip access-group 3030 ↓

■ スイッチ全体（すべてのポート）において、終点ポート番号が60000以上のTCPパケットとUDPパケットを破棄。

awplus(config)# access-list 3035 deny tcp any any gt 59999 ↓ awplus(config)# access-list 3036 deny udp any any gt 59999 ↓ awplus(config)# ip access-group 3035 ↓ awplus(config)# ip access-group 3036 ↓

■ ハードウェアパケットフィルターは、ルーティングされない同一サブネット内のトラフィックに対しても有効です。そのため、「192.168.10.0/24の存在するポート1.0.1～1.0.12において、192.168.10.0/24から他のサブネットへのIP通信を拒否」するつもりで次のような設定を行うと、192.168.10.0/24内でもIP通信ができなくなってしまいます。

awplus(config)# access-list 3041 deny ip 192.168.10.0/24 any ↓ awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# ip access-group 3041 ↓

このような場合は、次の例のように「始点IPアドレスと終点IPアドレスが同一サブネットなら許可」というアクセスリストを拒否のアクセスリストの前に追加してください。

awplus(config)# access-list 3040 permit ip 192.168.10.0/24 192.168.10.0/24 ↓ awplus(config)# access-list 3041 deny ip 192.168.10.0/24 any ↓ awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# ip access-group 3040 ↓ awplus(config-if)# ip access-group 3041 ↓

Note - ハードウェアパケットフィルターでは、最初にマッチしたアクセスリストのアクションが実行されます。デフォルト拒否の設定を行うには、最初に特定の条件を満たしたパケットを許可するアクセスリストを並べた上で、最後にすべてを破棄するアクセスリストを指定します。また、デフォルト許可に設定する場合は、特定の条件を満たしたパケットを拒否するアクセスリストだけを並べていきます。つまり、ハードウェアパケットフィルター自体はデフォルト許可です。

■ どのスイッチポートにハードウェアパケットフィルターが適用されているかを調べるには、show interface access-groupコマンドを使います。

awplus> show interface port1.0.1-1.0.24 access-group ↓ Interface port1.0.13 access-group 3000 access-group 3001

■ アクセスリストの情報を表示するには、show access-listコマンドを使います。

awplus# show access-list ↓

■ スイッチポートからハードウェアパケットフィルターを削除するには、該当ポートを対象にしたインターフェースモードにおいて、ip access-groupコマンド、mac access-groupコマンドをno形式で実行します。

awplus(config)# interface port1.0.1-1.0.12 ↓ awplus(config-if)# no ip access-group 3041 ↓ awplus(config-if)# no ip access-group 3040 ↓

■ スイッチ全体からハードウェアパケットフィルターを削除するには、グローバルコンフィグモードにおいて、ip access-groupコマンド、mac access-groupコマンドをno形式で実行します。

awplus(config)# no ip access-group 3035 ↓ awplus(config)# no ip access-group 3036 ↓

Note - スイッチポートやスイッチ全体からハードウェアパケットフィルターを削除しても、ハードウェアアクセスリストそのものは削除されません。スイッチポートやスイッチ全体とハードウェアアクセスリストの関連付けが削除されるだけです。ハードウェアアクセスリストを削除するには、access-list(hardware ip)コマンド、access-list(hardware mac)コマンドをno形式で実行します。

ハードウェアパケットフィルターのルール領域消費量

ハードウェアパケットフィルターを作成すると、システム内部の「ルールテーブル」内にあるルール領域が消費されます。

詳しくは「トラフィック制御」の「アクセスリスト」をご覧ください（「ハードウェアによるフィルタリング機能とルール領域消費量」を参照）。

PN: 613-000751 Rev.H