![[目次]](FIGURE/CONTENT.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
コンフィグレーションガイド Vol.2
- <この項の構成>
- (1) IPv4アドレスをフロー検出条件とする設定
- (2) IPv4パケットをフロー検出条件とする設定
- (3) TCP/UDPポート番号の範囲をフロー検出条件とする設定
- (4) IPv6パケットをフロー検出条件とする設定
(1) IPv4アドレスをフロー検出条件とする設定
IPv4アドレスをフロー検出条件とし,フレームを中継・廃棄指定する例を次に示します。
- [設定のポイント]
- フレーム受信時に送信元IPv4アドレスによってフロー検出を行い,フィルタエントリに一致したフレームを中継します。フィルタエントリに一致しないIPパケットはすべて廃棄します。
- [コマンドによる設定]
- (config)# ip access-list standard FLOOR_A_PERMIT
ip access-list(FLOOR_A_PERMIT)を作成します。本リストを作成することによって,IPv4アドレスフィルタの動作モードに移行します。
- (config-std-nacl)# permit 192.168.0.0 0.0.0.255
送信元IPアドレス192.168.0.0/24 ネットワークからのフレームを中継するIPv4アドレスフィルタを設定します。
- (config-ext-nacl)# exit
IPv4アドレスフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
- (config)# interface vlan 10
VLAN10のインタフェースモードに移行します。
- (config-if)# ip access-group FLOOR_A_PERMIT in
受信側にIPv4フィルタを有効にします。
(2) IPv4パケットをフロー検出条件とする設定
IPv4 telnetパケットをフロー検出条件とし,フレームを中継・廃棄指定する例を次に示します。
- [設定のポイント]
- フレーム受信時にIPヘッダ・TCP/UDPヘッダによってフロー検出を行い,フィルタエントリに一致したフレームを廃棄します。
- [コマンドによる設定]
- (config)# ip access-list extended TELNET_DENY
ip access-list(TELNET_DENY)を作成します。本リストを作成することによって,IPv4パケットフィルタの動作モードに移行します。
- (config-ext-nacl)# deny tcp any any eq telnet
telnetのパケットを廃棄するIPv4パケットフィルタを設定します。
- (config-ext-nacl)# permit ip any any
すべてのフレームを中継するIPv4パケットフィルタを設定します。
- (config-ext-nacl)# exit
IPv4アドレスフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
- (config)# interface vlan 10
VLAN10のインタフェースモードに移行します。
- (config-if)# ip access-group TELNET_DENY in
受信側にIPv4フィルタを有効にします。
(3) TCP/UDPポート番号の範囲をフロー検出条件とする設定
UDPポート番号の範囲をフロー検出条件とし,フレームを中継・廃棄指定する例を次に示します。
- [設定のポイント]
- フレーム受信時にUDPヘッダの宛先ポート番号の範囲によってフロー検出を行い,フィルタエントリに一致したフレームを廃棄します。
- [コマンドによる設定]
- (config)# ip access-list extended PORT_RANGE_DENY
ip access-list(PORT_RANGE_DENY)を作成します。本リストを作成することによって,IPv4パケットフィルタの動作モードに移行します。
- (config-ext-nacl)# deny udp any any range 10 20
UDPヘッダの宛先ポート番号が10〜20のパケットを廃棄するIPv4パケットフィルタを設定します。
- (config-ext-nacl)# permit ip any any
すべてのフレームを中継するIPv4パケットフィルタを設定します。
- (config-ext-nacl)# exit
IPv4アドレスフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
- (config)# interface vlan 10
VLAN10のインタフェースモードに移行します。
- (config-if)# ip access-group PORT_RANGE_DENY in
受信側にIPv4フィルタを有効にします。
(4) IPv6パケットをフロー検出条件とする設定
IPv6パケットをフロー検出条件として,フレームを中継・廃棄指定する例を次に示します。
- [設定のポイント]
- フレーム受信時にIPアドレスによってフロー検出を行い,フィルタエントリに一致したフレームを中継します。フィルタエントリに一致しないIPパケットはすべて廃棄します。
- [コマンドによる設定]
- (config)# ipv6 access-list FLOOR_B_PERMIT
ipv6 access-list(FLOOR_B_PERMIT)を作成します。本リストを作成することによって,IPv6パケットフィルタの動作モードに移行します。
- (config-ipv6-acl)# permit ipv6 2001:100::1/64 any
送信元IPアドレス2001:100::1/64からのフレームを中継するIPv6パケットフィルタを設定します。
- (config-ipv6-acl)# exit
IPv6パケットフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
- (config)# interface gigabitethernet 0/1
ポート0/1のインタフェースモードに移行します。
- (config-if)# ipv6 traffic-filter FLOOR_B_PERMIT in
受信側にIPv6フィルタを有効にします。
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.