構成定義ガイド

[目次][用語][索引][前へ][次へ]


7.1.5 特定サブネット間通信の制限

<この項の構成>
(1) 設定内容の概要
(2) 構成図と設定条件
(3) 構成定義情報例

(1) 設定内容の概要

IPアドレス単位でフィルタリングするときの構成定義情報の例を示します。

(2) 構成図と設定条件

[構成図]

図7-5 構成図

[図データ]

[設定条件]
次のような構成で「社内専用ネットワーク」「社外アクセスネットワーク」「Internet」間でのアクセスを制限したい場合の設定例を示します。
  1. 「社外アクセスネットワーク」<−>「Internet」間での通信の許可
    ・IPアドレス:
    「128.1.3.0/24」と「Internet」間
  2. 「社内専用ネットワーク」<−>「Internet」間での通信の禁止

(3) 構成定義情報例

[コマンドによる設定]

<本装置A>
 1    (config)# flow filter Tokyo1 in
      [flow filter Tokyo1 in]
 2    (config)# list 1 ip any 128.1.3.0/24 action forward
      [flow filter Tokyo1 in]
 3    (config)# list 2000 ip any any action drop
      [flow filter Tokyo1 in]
 4    (config)# exit
 5    (config)# flow filter Tokyo1 out
      [flow filter Tokyo1 out]
 6    (config)# list 1 ip 128.1.3.0/24 any action forward
      [flow filter Tokyo1 out]
 7    (config)# list 2000 ip any any action drop
      [flow filter Tokyo1 out]
 8    (config)# exit
 9    (config)# flow yes

表7-5 本装置Aの構成定義情報解説

解説番号 解説
1,2 インタフェース名Tokyo1のinbound(受信側)にIPアドレス128.1.3.0/24を宛先とするパケットを中継するように設定します。
3,4 インタフェース名Tokyo1のinbound(受信側)に解説番号1,2で設定したフロー検出条件以外のパケットを廃棄するように設定します。
5,6 インタフェース名Tokyo1のoutbound(送信側)にIPアドレス128.1.3.0/24を送信元とするパケットを中継するように設定します。
7,8 インタフェース名Tokyo1のoutbound(送信側)に解説番号5,6で設定したフロー検出条件以外のパケットを廃棄するように設定します。
9 フロー制御機能を使用する設定にします。

[構成定義情報の表示]

<本装置A>
flow yes
flow filter Tokyo1 in
  list 1 ip any 128.1.3.0/24 action forward
  list 2000 ip any any action drop
flow filter Tokyo1 out
  list 1 ip 128.1.3.0/24 any action forward
  list 2000 ip any any action drop

[目次][前へ][次へ]


[他社商品名称に関する表示]

Copyright (c)2005 ALAXALA Networks Corporation. All rights reserved.