【アライドスイッチ】パケットフィルタの設定方法

スイッチ

作業環境

  • 型番:AT-x510-28GTX
  • ファームウェアバージョン:5.5.0-1.3

アライドスイッチでのパケットフィルタ設定について

アライドスイッチでパケットフィルタを設定する場合、以下の2通りの方法があります。

  • ハードウェアパケットフィルタを使用する
  • QoS のフィルタリング機能を使用する

ここではより一般的と思われるハードウェアパケットフィルタについて記載します。

ハードウェアパケットフィルタについて

ハードウェアパケットフィルタについては、以下の種類があります。

  • インターフェースに適用されるハードウェアパケットフィルタ
  • VLAN に適用されるハードウェアパケットフィルタ

また、ハードウェアパケットフィルタは受信パケットに対してのみ適用され、送信パケットには適用されません

ハードウェアパケットフィルタの設定手順は以下の通りです。

インターフェースに適用する場合:

  1. ハードウェアアクセスリストを作成する
  2. インターフェースに対してアクセスグループを設定する

VLAN に適用する場合:

  1. ハードウェアアクセスリストを作成する
  2. VLAN アクセスマップを作成する
  3. VLAN フィルタを設定する

ハードウェアアクセスリストの設定

ハードウェアアクセスリストには、名前付きのものと番号付きのものの2種類があります。

名前付きハードウェアアクセスリストの設定

グローバルコンフィグモードにて以下コマンドで設定します。

  • access-list extended LISTNAME
    • LISTNAME:アクセスリスト名
      • 63 文字以下の文字列で指定
      • 大文字小文字は識別される

上のコマンドを実行すると、ハードウェアアクセスリストモードに移行します。ハードウェアアクセスリストモードにて以下コマンドを実行して対象となるトラフィックを定義します。

  • ACTION ip SRCIP DSTIP
    • 全てのプロトコルタイプを対象にする場合
  • ACTION {tcp|udpSRCIP [SRCPORTDSTIP [DSTPORT]
    • TCP/UDP ポートを限定してトラフィックを指定する場合

各パラメータの意味は以下の通りです。

  • ACTIONpermit(許可)または deny(拒否)を指定
  • SRCIP:送信元アドレス。以下の形式の中から指定
    • A.B.C.D/M:マスク長方式で指定したネットワーク
    • A.B.C.D W.X.Y.Z:サブネット方式で指定したネットワーク
    • host A.B.C.D:単一ホスト IP
    • host-group NAME:IP ホストグループ名
    • any:すべての IP アドレス
  • SRCPORT:送信元ポート番号。以下の形式の中から指定。省略時はすべてのポート番号となる
    • eq <0-65535>:指定した値と等しい
    • lt <0-65535>:指定した値より小さい
    • gt <0-65535>:指定した値より大きい
    • ne <0-65535>:指定した値と等しくない
    • range <0-65535> <0-65535>:ポート範囲
    • port-group NAME:ポートグループ名
  • DSTIP:宛先アドレス。指定方法は送信元アドレスと同様
  • DSTPORT:宛先ポート番号。指定方法は送信元ポート番号と同様

設定例:

access-list hardware hdlist
 deny ip any 192.168.0.0/24
 deny ip any 192.168.1.0/24
 deny tcp 10.10.10.10/32 any eq 443

番号付きハードウェアアクセスリストの設定

グローバルコンフィグモードにて以下コマンドで設定します。

  • access-list <3000-3699ACTION ip SRCIP DSTIP
    • 全てのプロトコルタイプを対象にする場合
  • access-list <3000-3699ACTION {tcp|udpSRCIP [SRCPORTDSTIP [DSTPORT]
    • TCP/UDP ポートを限定してトラフィックを指定する場合

各パラメータの意味は以下の通りです。

  • <3000-3699>:設定するハードウェアアクセスリストの番号を 3000-3699 の範囲から指定
  • その他のパラメータ
    • 名前付きハードウェアアクセスリストと同様

番号付きハードウェアアクセスリストの場合は、1つのハードウェアアクセスリスト番号に対して1つのトラフィックのみ定義できます。

ハードウェアアクセスリストの考慮点

  • ハードウェアアクセスリストには、暗黙の deny はありません

インターフェースに対するアクセスグループ設定

対象インターフェースのインターフェースモードにて以下コマンドで設定します。

  • access-group {<3000-3699>|LISTNAME}
    • {<3000-3699>|LISTNAME}:適用するハードウェアアクセスリストを番号または名前で指定

複数のアクセスグループを設定した場合は、設定した順に評価され、一番最初にマッチしたハードウェアアクセスリストによって許可/拒否が決定されます。また、どのハードウェアアクセスリストにも合致しなかった場合は許可されます。

設定例:

interface port1.0.1
 access-group hdlist
interface port1.0.1
 access-group 3000
 access-group 3001

VLAN に対するフィルタ設定

VLAN アクセスマップの作成

グローバルコンフィグモードにて以下コマンドで設定します。

  • vlan access-map NAME
    • NAME:VLAN アクセスマップ名

上のコマンドを実行すると VLAN アクセスマップモードに移行します。VLAN アクセスマップモードにて以下コマンドを実行することで、フィルタリングに使用するハードウェアアクセスリストを指定します。

  • match access-group {<3000-3699>|LISTNAME}
    • {<3000-3699>|LISTNAME}:適用するハードウェアアクセスリストを番号または名前で指定

VLAN フィルタの設定

VLAN アクセスマップと VLAN ID を対応付けます。グローバルコンフィグモードにて以下コマンドで設定します。

  • vlan filter NAME vlan-list <1-4094> input
    • NAME:適用する VLAN アクセスマップの名前
    • <1-4094>:適用先の VLAN の ID

VLAN フィルタの設定例

access-list hardware hdlist
 deny ip any 192.168.0.0/24
 deny ip any 192.168.1.0/24
 deny tcp 10.10.10.10/32 any eq 443

vlan access-map VMAP
 match access-group hdlist

vlan filter VMAP vlan-list 10 input

備考

  • インターフェースに対するフィルタと VLAN に対するフィルタの両方設定されている場合、先にインターフェースに対するフィルタが評価され、次に VLAN に対するフィルタが評価されます
  • インターフェースに対するフィルタで「許可」と評価された場合、VLAN に対するフィルタは評価されずにスキップされます

参考資料

CentreCOM x510シリーズ・AT-IX5-28GPX コマンドリファレンス 5.5.0: トラフィック制御 / ハードウェアパケットフィルター

―――――――――――――

タイトルとURLをコピーしました