作業環境
- 型番:AT-x510-28GTX
- ファームウェアバージョン:5.5.0-1.3
アライドスイッチでのパケットフィルタ設定について
アライドスイッチでパケットフィルタを設定する場合、以下の2通りの方法があります。
- ハードウェアパケットフィルタを使用する
- QoS のフィルタリング機能を使用する
ここではより一般的と思われるハードウェアパケットフィルタについて記載します。
ハードウェアパケットフィルタについて
ハードウェアパケットフィルタについては、以下の種類があります。
- インターフェースに適用されるハードウェアパケットフィルタ
- VLAN に適用されるハードウェアパケットフィルタ
また、ハードウェアパケットフィルタは受信パケットに対してのみ適用され、送信パケットには適用されません。
ハードウェアパケットフィルタの設定手順は以下の通りです。
インターフェースに適用する場合:
- ハードウェアアクセスリストを作成する
- インターフェースに対してアクセスグループを設定する
VLAN に適用する場合:
- ハードウェアアクセスリストを作成する
- VLAN アクセスマップを作成する
- VLAN フィルタを設定する
ハードウェアアクセスリストの設定
ハードウェアアクセスリストには、名前付きのものと番号付きのものの2種類があります。
名前付きハードウェアアクセスリストの設定
グローバルコンフィグモードにて以下コマンドで設定します。
access-list extended LISTNAME
LISTNAME
:アクセスリスト名- 63 文字以下の文字列で指定
- 大文字小文字は識別される
上のコマンドを実行すると、ハードウェアアクセスリストモードに移行します。ハードウェアアクセスリストモードにて以下コマンドを実行して対象となるトラフィックを定義します。
ACTION ip SRCIP DSTIP
- 全てのプロトコルタイプを対象にする場合
ACTION {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT]
- TCP/UDP ポートを限定してトラフィックを指定する場合
各パラメータの意味は以下の通りです。
ACTION
:permit
(許可)またはdeny
(拒否)を指定SRCIP
:送信元アドレス。以下の形式の中から指定- A.B.C.D/M:マスク長方式で指定したネットワーク
- A.B.C.D W.X.Y.Z:サブネット方式で指定したネットワーク
- host A.B.C.D:単一ホスト IP
- host-group NAME:IP ホストグループ名
- any:すべての IP アドレス
SRCPORT
:送信元ポート番号。以下の形式の中から指定。省略時はすべてのポート番号となる- eq <0-65535>:指定した値と等しい
- lt <0-65535>:指定した値より小さい
- gt <0-65535>:指定した値より大きい
- ne <0-65535>:指定した値と等しくない
- range <0-65535> <0-65535>:ポート範囲
- port-group NAME:ポートグループ名
DSTIP
:宛先アドレス。指定方法は送信元アドレスと同様DSTPORT
:宛先ポート番号。指定方法は送信元ポート番号と同様
設定例:
access-list hardware hdlist
deny ip any 192.168.0.0/24
deny ip any 192.168.1.0/24
deny tcp 10.10.10.10/32 any eq 443
番号付きハードウェアアクセスリストの設定
グローバルコンフィグモードにて以下コマンドで設定します。
access-list <3000-3699> ACTION ip SRCIP DSTIP
- 全てのプロトコルタイプを対象にする場合
access-list <3000-3699> ACTION {tcp|udp} SRCIP [SRCPORT] DSTIP [DSTPORT]
- TCP/UDP ポートを限定してトラフィックを指定する場合
各パラメータの意味は以下の通りです。
<3000-3699>
:設定するハードウェアアクセスリストの番号を 3000-3699 の範囲から指定- その他のパラメータ
- 名前付きハードウェアアクセスリストと同様
番号付きハードウェアアクセスリストの場合は、1つのハードウェアアクセスリスト番号に対して1つのトラフィックのみ定義できます。
ハードウェアアクセスリストの考慮点
- ハードウェアアクセスリストには、暗黙の deny はありません
インターフェースに対するアクセスグループ設定
対象インターフェースのインターフェースモードにて以下コマンドで設定します。
access-group {<3000-3699>|LISTNAME}
{<3000-3699>|LISTNAME}
:適用するハードウェアアクセスリストを番号または名前で指定
複数のアクセスグループを設定した場合は、設定した順に評価され、一番最初にマッチしたハードウェアアクセスリストによって許可/拒否が決定されます。また、どのハードウェアアクセスリストにも合致しなかった場合は許可されます。
設定例:
interface port1.0.1
access-group hdlist
interface port1.0.1
access-group 3000
access-group 3001
VLAN に対するフィルタ設定
VLAN アクセスマップの作成
グローバルコンフィグモードにて以下コマンドで設定します。
vlan access-map NAME
NAME
:VLAN アクセスマップ名
上のコマンドを実行すると VLAN アクセスマップモードに移行します。VLAN アクセスマップモードにて以下コマンドを実行することで、フィルタリングに使用するハードウェアアクセスリストを指定します。
match access-group {<3000-3699>|LISTNAME}
{<3000-3699>|LISTNAME}
:適用するハードウェアアクセスリストを番号または名前で指定
VLAN フィルタの設定
VLAN アクセスマップと VLAN ID を対応付けます。グローバルコンフィグモードにて以下コマンドで設定します。
vlan filter NAME vlan-list <1-4094> input
NAME
:適用する VLAN アクセスマップの名前<1-4094>
:適用先の VLAN の ID
VLAN フィルタの設定例
access-list hardware hdlist
deny ip any 192.168.0.0/24
deny ip any 192.168.1.0/24
deny tcp 10.10.10.10/32 any eq 443
vlan access-map VMAP
match access-group hdlist
vlan filter VMAP vlan-list 10 input
備考
- インターフェースに対するフィルタと VLAN に対するフィルタの両方設定されている場合、先にインターフェースに対するフィルタが評価され、次に VLAN に対するフィルタが評価されます
- インターフェースに対するフィルタで「許可」と評価された場合、VLAN に対するフィルタは評価されずにスキップされます
参考資料
―――――――――――――