[index] CentreCOM x900シリーズ・SwitchBlade x908 コマンドリファレンス 5.3.2

トラフィック制御 / アクセスリスト 

  - アクセスリストの種類と用途
  - アクセスリストの作成
   - 標準IPアクセスリスト
    - 番号付き標準IPアクセスリスト
    - 名前付き標準IPアクセスリスト
   - 拡張IPアクセスリスト
    - 番号付き拡張IPアクセスリスト
    - 名前付き拡張IPアクセスリスト
   - 標準IPv6アクセスリスト
    - 名前付き標準IPv6アクセスリスト
   - ハードウェアアクセスリスト
    - ハードウェアIPアクセスリスト
    - ハードウェアMACアクセスリスト
  - アクセスリストの使用
   - 標準IPアクセスリスト
   - 拡張IPアクセスリスト
   - 標準IPv6アクセスリスト
   - ハードウェアアクセスリスト
  - ハードウェアによるフィルタリング機能とルール領域消費量
   - グローバル・ハードウェアパケットフィルターのルール領域消費量
   - EPSRドメインのルール領域消費量
   - ポリシーマップのルール領域消費量
   - インターフェース・ハードウェアパケットフィルターのルール領域消費量
   - 機能併用時のルール領域消費量
アクセスリストは、MACアドレス、IPアドレスなどのアドレス情報に基づいてパケットやトラフィック、アプリケーションセッション、経路エントリーなどを分類・識別し、分類後の処理を指定したり、設定対象IPアドレスを範囲指定したりするための汎用的な仕組みです。

本解説編では、アクセスリストの種類と用途について述べた後、アクセスリストの基本的な作成方法について解説します。

なお、アクセスリスト自体は基本的に分類・識別条件を定義するだけなので、単体では意味をなさず、他の機能と組み合わせて初めて効果を発揮しますが、本解説編では作成したアクセスリストの使用方法については軽く触れるだけにします。各機能におけるアクセスリストの具体的な使用方法については、該当機能の解説編やコマンドリファレンス編をご参照ください。

また、本解説編では、経路情報のフィルタリングを目的としたアクセスリストの作成方法については説明しません。アクセスリストを作成するときの基本的な考え方はどの機能においてもほぼ共通ですが、経路情報をフィルタリングするときだけは若干異なる考え方が必要になるためです。経路フィルタリングにおけるアクセスリストの作成方法と使用方法については、「IPルーティング」の「経路制御(フィルタリング)」をご覧ください。

アクセスリストの種類と用途

 アクセスリストには、大きく分けて「標準IPアクセスリスト」、「拡張IPアクセスリスト」、「標準IPv6アクセスリスト」、「ハードウェアアクセスリスト」の4種類があります。

次に示すように、これらはそれぞれ用途が分かれています。したがって、用途が決まれば使用すべきアクセスリストの種類も自動的に決まります。

表 1:アクセスリストの種類と用途
アクセスリストの種類
アクセスリストを利用する機能
用途
標準IPアクセスリスト SNMP SNMPコミュニティーへのアクセス制御
NTP NTPサービスへのアクセス制御
RIP/OSPF 経路情報のフィルタリング(経路エントリーの許可・破棄や属性変更)
PIM-SM 隣接関係の制御(隣接ルーターの制限)
各種機能の設定対象となるマルチキャストグループの指定
PIM-DM 隣接関係の制御(隣接ルーターの制限)
IGMP 参加可能なマルチキャストグループの制限
各種機能の設定対象となるマルチキャストグループの指定
拡張IPアクセスリスト PIM-SM ランデブーポイント(RP)におけるRegisterメッセージのフィルタリング
標準IPv6アクセスリスト RIPng 経路情報のフィルタリング(経路エントリーの許可・破棄や属性変更)
MLD Snooping 参加可能なマルチキャストグループの制限
各種機能の設定対象となるマルチキャストグループの指定
ハードウェアアクセスリスト ハードウェアパケットフィルター 受信スイッチポートにおけるパケットフィルタリング
Quality of Service(QoS) 受信スイッチポートにおけるトラフィック分類


Note - 標準IPアクセスリスト、拡張IPアクセスリスト、標準IPv6アクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。なお、本製品は現在IPv6のパケットフィルタリングには対応していません。

なお実際には、標準IPv6アクセスリストを除く3種類は、識別子(ID)として番号、文字列のどちらを使うか、あるいは、分類条件としてEthernetヘッダー、IPヘッダー以降のどちらを使うかの違いによって、さらにそれぞれ2つずつ小分類することができます。したがって、厳密にはアクセスリストの種類は次の7つとなります。

表 2:アクセスリストの種類と識別子および設定コマンド
アクセスリストの種類
識別子
設定コマンド
標準IPアクセスリスト
番号付き標準IPアクセスリスト 1〜99、1300〜1999 access-list(standard)コマンド
名前付き標準IPアクセスリスト 名前(文字列) access-list standardコマンド
拡張IPアクセスリスト
番号付き拡張IPアクセスリスト 100〜199、2000〜2699 access-list(extended)コマンド
名前付き拡張IPアクセスリスト 名前(文字列) access-list extendedコマンド
標準IPv6アクセスリスト
名前付き標準IPv6アクセスリスト 名前(文字列) ipv6 access-list standardコマンド
ハードウェアアクセスリスト
ハードウェアIPアクセスリスト 3000〜3699 access-list(hardware ip)コマンド
ハードウェアMACアクセスリスト 4000〜4699 access-list(hardware mac)コマンド


アクセスリストの作成

 以下では、アクセスリストの種類ごとに、その概要と作成方法について説明します。

Note - 経路フィルタリングを目的としたアクセスリストの作成方法についてはここでは触れません。「IPルーティング」の「経路制御(フィルタリング)」をご覧ください(「IPルーティング」の章ですが、共通のコマンドが多いため同章ではIPv6の経路フィルタリングについても触れています)。

標準IPアクセスリスト

 標準IPアクセスリストは、IPアドレスを1つだけ指定できるアクセスリストです。
おもに、始点IPアドレスに基づいて、本装置上のサービス(NTPなど)に対するアクセスを制御する場合に使用します。また、マルチキャスト関連機能において、設定対象のグループアドレスを範囲指定する場合にも使用します。

Note - 標準IPアクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。

標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

標準IPアクセスリストには、各リストを番号で識別するタイプと名前で識別するタイプがあり、それぞれ以下のコマンドで設定を行います。


両者は分類条件の指定方法が若干異なるだけで、アクセスリストを使用する各機能においてはどちらもほぼ同じように使用できます。ただし、機能によってはどちらか一方しか使えないものもありますので、詳細は各機能の解説編やコマンドリファレンス編で確認してください。

以下では、標準IPアクセスリストの作成方法について解説します。

標準IPアクセスリストを使って経路エントリーの分類・識別や制御を行う方法については、「IPルーティング」の「経路制御(フィルタリング)」をご覧ください。

番号付き標準IPアクセスリスト

 番号で識別するタイプの標準IPアクセスリストを作成するには、access-list(standard)コマンドを使います。標準IPアクセスリストには、1〜99、および、1300〜1999の範囲の番号を使います。

番号付き標準IPアクセスリストでは、通常始点IPアドレスに対してのみマッチングを行います。このとき、ワイルドカードマスク(リバースマスクまたはORマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 番号付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。


名前付き標準IPアクセスリスト

 名前で識別するタイプの標準IPアクセスリストを作成するには、access-list standardコマンドを使います。

名前付き標準IPアクセスリストでは、通常始点IPアドレスに対してのみマッチングを行います。このとき、マスク長(ANDマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 名前付き標準IPアクセスリストにはexact-matchというオプションがありますが、これは経路エントリーを対象とするときだけ意味を持つオプションなので、ここでは触れません。

Note - 名前付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。


拡張IPアクセスリスト

 拡張IPアクセスリストは、条件となるIPアドレスを2つ指定できるアクセスリストです。始点IPアドレスと終点IPアドレスに基づくアクセス制御やトラフィック分類が本来の用途ですが、本製品では、PIM-SMのランデブーポイントにおいてRegisterメッセージをフィルタリングするときにだけ拡張IPアクセスリストを使用します。

Note - 拡張IPアクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。

拡張IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

拡張IPアクセスリストには、各リストを番号で識別するタイプと名前で識別するタイプがあり、それぞれ以下のコマンドで設定を行います。


Note - 名前付き拡張IPアクセスリスト(access-list extendedコマンド)では、分類条件としてプロトコルやポート番号、ICMPメッセージタイプなどを指定することもできますが、現状これらは使用しません。

以下では、拡張IPアクセスリストの作成方法について解説します。

なお、拡張IPアクセスリストを使って経路エントリーの分類・識別や制御を行うことはできません。

番号付き拡張IPアクセスリスト

 番号で識別するタイプの拡張IPアクセスリストを作成するには、access-list(extended)コマンドを使います。拡張IPアクセスリストには、100〜199、および、2000〜2699の範囲の番号を使います。

番号付き拡張IPアクセスリストでは、通常始点IPアドレスと終点IPアドレスに対してマッチングを行います。このとき、ワイルドカードマスク(リバースマスクまたはORマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 番号付き拡張IPアクセスリストの末尾には「deny ip any any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。


名前付き拡張IPアクセスリスト

 名前で識別するタイプの拡張IPアクセスリストを作成するには、access-list extendedコマンドを使います。

名前付き拡張IPアクセスリストでは、通常始点IPアドレスと終点IPアドレスに対してマッチングを行います。このとき、マスク長(ANDマスクともいう)を使うことで、柔軟なアドレス指定が可能です。

Note - 名前付き拡張IPアクセスリスト(access-list extendedコマンド)では、分類条件としてプロトコルやポート番号、ICMPメッセージタイプなどを指定することもできますが、現状これらは使用しません。

Note - 名前付き拡張IPアクセスリストの末尾には「deny any any any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。


標準IPv6アクセスリスト

 標準IPv6アクセスリストは、IPv6アドレスを1つだけ指定できるアクセスリストです。
標準IPアクセスリストのIPv6版と考えればよいでしょう。

Note - 標準IPv6アクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。なお、本製品は現在IPv6のパケットフィルタリングには対応していません。

標準IPv6アクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

標準IPv6アクセスリストは、標準IPアクセスリストと異なり、各リストを名前で識別するタイプしかありません。設定はipv6 access-list standardコマンドで行います。

以下では、標準IPv6アクセスリストの作成方法について解説します。

標準IPv6アクセスリストを使って経路エントリーの分類・識別や制御を行う方法については、「IPルーティング」の「経路制御(フィルタリング)」をご覧ください(「IPルーティング」の章ですが、共通のコマンドが多いため同章ではIPv6の経路フィルタリングについても触れています)。

名前付き標準IPv6アクセスリスト

 名前で識別するタイプの標準IPv6アクセスリストを作成するには、ipv6 access-list standardコマンドを使います。

名前付き標準IPv6アクセスリストでは、通常始点IPv6アドレスに対してのみマッチングを行います。このとき、マスク長(ANDマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 名前付き標準IPv6アクセスリストにはexact-matchというオプションがありますが、これは経路エントリーを対象とするときだけ意味を持つオプションなので、ここでは触れません。

Note - 名前付き標準IPv6アクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。


ハードウェアアクセスリスト

 ハードウェアアクセスリストは、本製品のスイッチングチップ(ASIC)でパケットフィルタリングやトラフィック分類を行うためのアクセスリストです。

ハードウェアアクセスリストでは、パケットヘッダー内の各種フィールドを検査してパケットを分類し、分類したパケットに対しては、許可、破棄だけでなく、パケットのコピーをミラーポートから出力するなどの各種処理を行うことができます。

ハードウェアアクセスリストは、これまで説明してきた他のアクセスリストとは違って、エントリーを1つしか持てません。すなわち、ハードウェアアクセスリストは「リスト」という名を持ってはいますが、実際にはリストではなく単一のエントリーということになります。したがって、ハードウェアアクセスリストには、他のアクセスリストにある「暗黙のdenyエントリー」は存在しません。

ハードウェアアクセスリストを用いてトラフィックの制御を行うときは、複数のハードウェアアクセスリスト(つまりエントリー)をスイッチポート(インターフェース・ハードウェアパケットフィルター)やスイッチ全体(グローバル・ハードウェアパケットフィルター)、あるいは、ポリシーマップ(QoSポリシー)に順序立てて関連付けることで、実際のリストを構成します。

ハードウェアアクセスリストには、IPヘッダー以降をマッチング対象にするものと、Ethernetヘッダーだけをマッチング対象にするものがあり、それぞれ以下のコマンドで設定を行います。


両者は使用できる分類条件が異なるだけで、トラフィックを制御する各機能においてはどちらもほぼ同じように、混在して使用できます。

以下では、ハードウェアアクセスリストを用いてトラフィックを分類する方法について解説します。

なお、ハードウェアアクセスリストを使って経路エントリーの分類・識別や制御を行うことはできません。

ハードウェアIPアクセスリスト

 ハードウェアIPアクセスリストを作成するには、access-list(hardware ip)コマンドを使います。

ハードウェアIPアクセスリストでは、通常始点IPアドレスと終点IPアドレスに対してマッチングを行います。このとき、マスク長(ANDマスクともいう)やワイルドカードマスク(リバースマスクまたはORマスクともいう)を使うことで、柔軟なアドレス指定が可能です。また、TCP/UDPパケットに対しては終点・始点のポート番号を、ICMPパケットに対してはメッセージタイプを指定することもできます。次にいくつか例を示します。

Note - ハードウェアIPアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。


ハードウェアMACアクセスリスト

 ハードウェアMACアクセスリストを作成するには、access-list(hardware mac)コマンドを使います。

ハードウェアMACアクセスリストでは、送信元MACアドレスと宛先MACアドレスに対してマッチングを行います。このとき、ワイルドカードマスク(リバースマスクまたはORマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - ハードウェアMACアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。


アクセスリストの使用

 作成したアクセスリストは、以下の機能/コマンドから使用できます(経路フィルタリング関連機能を除く)。

Note - 経路フィルタリングを目的としたアクセスリストの使用方法についてはここでは触れません。「IPルーティング」の「経路制御(フィルタリング)」をご覧ください(「IPルーティング」の章ですが、共通のコマンドが多いため同章ではIPv6の経路フィルタリングについても触れています)。

標準IPアクセスリスト

 標準IPアクセスリストを利用したアクセス制御関連の機能としては、以下のものがあります。


また、各種アドレスの指定に標準IPアクセスリストを使う機能としては、以下のものがあります。


■ SNMPの詳細については、「運用・管理」の「SNMP」をご覧ください。

■ NTPの詳細については、「運用・管理」の「NTP」をご覧ください。

■ PIM-SM/PIM-DMの詳細については、「IPマルチキャスト」の「PIM」をご覧ください。

■ IGMPの詳細については、「IPマルチキャスト」の「IGMP」をご覧ください。

拡張IPアクセスリスト

 現状、拡張IPアクセスリストは次の用途にしか使用しません。


■ PIM-SMの詳細については、「IPマルチキャスト」の「PIM」をご覧ください。

標準IPv6アクセスリスト

 標準IPv6アクセスリストを利用したアクセス制御関連の機能としては、以下のものがあります。


また、各種アドレスの指定に標準IPv6アクセスリストを使う機能としては、以下のものがあります。


■ MLD Snoopingの詳細については、「IPv6マルチキャスト」の「MLD Snooping」をご覧ください。

ハードウェアアクセスリスト

 ハードウェアアクセスリストは、次の機能で使用します。


■ ハードウェアパケットフィルターの詳細については、「トラフィック制御」の「ハードウェアパケットフィルター」をご覧ください。

■ Quality of Service(QoS)の詳細については、「トラフィック制御」の「Quality of Service」をご覧ください。

ハードウェアによるフィルタリング機能とルール領域消費量

 本製品では、ハードウェアによるフィルタリング機能を実現するために、システム内部の「ルールテーブル」を使用します。

ハードウェアアクセスリストやQoSポリシーマップは、ルールテーブルと関係なく作成できますが、実際に使用できる数(インターフェースなどに関連付けられる数)はルールテーブル内にあるルール領域の空き容量に依存します。ルール領域の空きがなくなると、ハードウェアパケットフィルターの追加時やQoSポリシーマップの適用時にエラーメッセージが表示され、それ以上フィルターやポリシーの追加・適用ができなくなります。

ルール領域の基本仕様は次のとおりです。


以下では、これらの基本仕様をふまえながら、グローバル・ハードウェアパケットフィルター、インターフェース・ハードウェアパケットフィルター、ポリシーマップ、EPSRドメインの設定により、ルール領域がどのように消費されるかを解説します。

なお、ルール領域の消費量は、システムのインスタンス数(スイッチチップの合計数)にも依存します。各製品1台あたりのインスタンス数は次の表を参照してください。

製品名
インスタンス数
本体(シャーシ)
拡張モジュール
システム全体
AT-x900-12XT/S 1 0〜1 1〜2
AT-x900-24XT・AT-x900-24XS 2 0〜2 2〜4
AT-SBx908 0 1〜8(必ず1個以上装着) 1〜8


Note - VCS構成時は、全メンバーのインスタンス数を合計したものがシステムのインスタンス数となります。なお、スタックモジュールにはインスタンスがありません。

Note - 以下の図表は説明用のもので、内部実装を正確に表したものではありません。

グローバル・ハードウェアパケットフィルターのルール領域消費量

 グローバル・ハードウェアパケットフィルターを1個設定すると、1インスタンスあたり1個のルール領域を消費します。

たとえば、2つのインスタンスを持つAT-x900-24XTにおいて、ハードウェアIPアクセスリストを2個(3000〜3001)作成し、これらをグローバル・ハードウェアパケットフィルターとして使用した場合、ルール領域の消費量は 2(フィルター) × 2(インスタンス) = 4 となります。

ルール番号
インスタンス
ポート
機能モジュール
1 本体1 すべて グローバル・ハードウェアパケットフィルター 3000
2 グローバル・ハードウェアパケットフィルター 3001
3 本体2 すべて グローバル・ハードウェアパケットフィルター 3000
4 グローバル・ハードウェアパケットフィルター 3001


EPSRドメインのルール領域消費量

 EPSRドメインを1個設定すると、1インスタンスあたり1個のルール領域を消費します。

Note - リング接続用ポートと関係のないインスタンスも、それぞれ1個のルール領域を消費します。

たとえば、2つのインスタンスを持つAT-x900-24XTにおいて、EPSRドメイン「test1」を設定した場合、ルール領域の消費量は 1(ドメイン) × 2(インスタンス) = 2 となります。ただし、ルール領域は、「インスタンス・ポート」の組ごとに2個単位で割り当てられるため、この例では未使用2個を含む4個分のルール領域が割り当てられます。

ルール番号
インスタンス
ポート
機能モジュール
1 本体1 すべて EPSRドメイン test1
2 未使用
3 本体2 すべて EPSRドメイン test1
4 未使用


ここでさらにEPSRドメイン「test2」を設定した場合は、割り当て済みの未使用領域が使われ、次のようになります。

ルール番号
インスタンス
ポート
機能モジュール
1 本体1 すべて EPSRドメイン test1
2 EPSRドメイン test2
3 本体2 すべて EPSRドメイン test1
4 EPSRドメイン test2


ポリシーマップのルール領域消費量

 スイッチポートにポリシーマップを適用すると、ポートごとに、ポリシーマップに含まれるクラスマップ(トラフィッククラス)の数だけルール領域を消費します。

Note - 暗黙のデフォルトクラスマップもルール領域を消費します。また、クラスマップの分類条件や処理内容が空でもルール領域を消費します。

Note - スタティックチャンネルグループ(手動設定のトランクグループ)にポリシーマップを適用した場合は、メンバーポートが所属するインスタンスごとに、ポリシーマップに含まれるクラスマップ(トラフィッククラス)の数だけルール領域を消費します。

たとえば、2つのインスタンスを持つAT-x900-24XTにおいて、3つのクラスマップを含むポリシーマップ「test3」をポート1.0.1と1.0.2に適用した場合、ルール領域の消費量は 3(クラスマップ) × 2(ポート) = 6 となります。ただし、ルール領域は、「インスタンス・ポート」の組ごとに2個単位で割り当てられるため、この例では未使用2個を含む8個分のルール領域が割り当てられます。

ルール番号
インスタンス
ポート
機能モジュール
1 本体1 1 (1.0.1) ポリシーマップ test3 クラスマップ high
2 ポリシーマップ test3 クラスマップ low
3 本体1 1 (1.0.1) ポリシーマップ test3 クラスマップ default
4 未使用
5 本体1 2 (1.0.2) ポリシーマップ test3 クラスマップ high
6 ポリシーマップ test3 クラスマップ low
7 本体1 2 (1.0.2) ポリシーマップ test3 クラスマップ default
8 未使用


また、AT-x900-24XT 2台(ID=1、2)のVCS構成において、3つのクラスマップを含むポリシーマップ「test4」をスタティックチャンネルグループsa1(ポート1.0.11、1.0.12、2.0.11、2.0.12で構成)に適用した場合、ルール領域の消費量は 3(クラスマップ) × 2(インスタンス) = 6 となります。ただし、ルール領域は、「インスタンス・ポート」の組ごとに2個単位で割り当てられるため、この例では未使用2個を含む8個分のルール領域が割り当てられます。

ルール番号
インスタンス
ポート
機能モジュール
1 ID=1 本体1 sa1 (1.0.11-1.0.12) ポリシーマップ test4 クラスマップ major
2 ポリシーマップ test4 クラスマップ minor
3 ID=1 本体1 sa1 (1.0.11-1.0.12) ポリシーマップ test4 クラスマップ default
4 未使用
5 ID=2 本体1 sa1 (2.0.11-2.0.12) ポリシーマップ test4 クラスマップ major
6 ポリシーマップ test4 クラスマップ minor
7 ID=2 本体1 sa1 (2.0.11-2.0.12) ポリシーマップ test4 クラスマップ default
8 未使用


インターフェース・ハードウェアパケットフィルターのルール領域消費量

 インターフェース・ハードウェアパケットフィルターを1個設定すると、ポートごとに1個のルール領域を消費します。

Note - スタティックチャンネルグループ(手動設定のトランクグループ)にインターフェース・ハードウェアパケットフィルターを1個設定した場合は、メンバーポートが所属するインスタンスごとに1個のルール領域を消費します。

たとえば、2つのインスタンスを持つAT-x900-24XTにおいて、ハードウェアIPアクセスリストを2個(3010〜3011)作成し、これらをポート1.0.3と1.0.4にインターフェース・ハードウェアパケットフィルターとして適用した場合、ルール領域の消費量は 2(フィルター) × 2(ポート) = 4 となります。

ルール番号
インスタンス
ポート
機能モジュール
1 本体1 3 (1.0.3) インターフェース・ハードウェアパケットフィルター 3010
2 インターフェース・ハードウェアパケットフィルター 3011
3 本体1 4 (1.0.4) インターフェース・ハードウェアパケットフィルター 3010
4 インターフェース・ハードウェアパケットフィルター 3011


また、AT-x900-24XT 2台(ID=1、2)のVCS構成において、ハードウェアIPアクセスリストを2個(3020〜3021)作成し、これらをスタティックチャンネルグループsa2(ポート1.0.23、1.0.24、2.0.23、2.0.24で構成)にインターフェース・ハードウェアパケットフィルターとして適用した場合、ルール領域の消費量は 2(フィルター) × 2(インスタンス) = 4 となります。

ルール番号
インスタンス
ポート
機能モジュール
1 ID=1 本体2 sa2 (1.0.23-1.0.24) インターフェース・ハードウェアパケットフィルター 3020
2 インターフェース・ハードウェアパケットフィルター 3021
3 ID=2 本体2 sa2 (2.0.23-2.0.24) インターフェース・ハードウェアパケットフィルター 3020
4 インターフェース・ハードウェアパケットフィルター 3021


機能併用時のルール領域消費量

 ルール領域を消費する各機能は、次の2つに分類できます。

同一カテゴリーの機能を併用する場合は、各機能のルール領域消費量を合計すればシステム全体の消費量が求められます。しかし、「システム全体に適用する機能」と「インターフェースに適用する機能」を併用する場合は、ルール消費量の計算が少し複雑になります。以下では、これについて説明します。

「インターフェースに適用する機能」はポートごとにルール領域を消費しますが、この状態で「システム全体に適用する機能」の設定を追加すると、インスタンスごとに追加される「すべてのポート」を対象としたルールに加え、「インターフェースに適用する機能」が設定されているすべてのポートにも、それぞれルールが追加されます。

たとえば、2つのインスタンスを持つAT-x900-24XTにおいて、3つのクラスマップを含むポリシーマップ「test3」をポート1.0.1と1.0.2に適用し、さらに、ハードウェアIPアクセスリストを2個(3030〜3031)作成し、これらをグローバル・ハードウェアパケットフィルターとして使用した場合、ポリシーマップによるルール領域の消費量は 3(クラスマップ) × 2(ポート) = 6、グローバル・ハードウェアパケットフィルターによるルール領域の消費量は 2(フィルター) × ( 2(インスタンス) + 2(ポート)) = 8 で、合計は14となります。ただし、ルール領域は、「インスタンス・ポート」の組ごとに2個単位で割り当てられるため、この例では未使用2個を含む16個分のルール領域が割り当てられます。

ルール番号
インスタンス
ポート
機能モジュール
1 本体1 1 (1.0.1) ポリシーマップ test3 クラスマップ high
2 ポリシーマップ test3 クラスマップ low
3 本体1 1 (1.0.1) ポリシーマップ test3 クラスマップ default
4 グローバル・ハードウェアパケットフィルター 3000
5 本体1 2 (1.0.2) ポリシーマップ test3 クラスマップ high
6 ポリシーマップ test3 クラスマップ low
7 本体1 2 (1.0.2) ポリシーマップ test3 クラスマップ default
8 グローバル・ハードウェアパケットフィルター 3000
9 本体1 すべて グローバル・ハードウェアパケットフィルター 3000
10 グローバル・ハードウェアパケットフィルター 3001
11 本体2 すべて グローバル・ハードウェアパケットフィルター 3000
12 グローバル・ハードウェアパケットフィルター 3001
13 本体1 1 (1.0.1) グローバル・ハードウェアパケットフィルター 3001
14 未使用
15 本体1 2 (1.0.2) グローバル・ハードウェアパケットフィルター 3001
16 未使用

(C) 2007 - 2009 アライドテレシスホールディングス株式会社

PN: 613-000751 Rev.H