コンフィグレーションガイド
- <この項の構成>
- (1) 設定内容の概要
- (2) 構成図と設定条件
- (3) コンフィグレーション例
(1) 設定内容の概要
IPアドレス単位でフィルタリングするときのコンフィグレーションの例を示します。
通信が禁止のところでもICMPv6だけは通信可とします(ping ipv6コマンドが使用可能です)。
(2) 構成図と設定条件
- [設定条件]
- 次のような構成で「社内専用ネットワーク」「社外アクセスネットワーク」「Internet」間でのアクセスを制限したい場合の設定例を示します。
- 「社外アクセスネットワーク」<−>「社内専用ネットワーク」間での通信の禁止(図11-5 構成図(a)参照)
・IPv6アドレス:
「3ffe:501:811:ff01::0/64-3ffe:501:811:ff02::0/64」と「3ffe:501:811:ff03::0/64-3ffe:501:811:ff04::0/64」間
・ただし,ICMPv6は通信可
- 「社内専用ネットワーク」<−>「Internet」間での通信の禁止(図11-6 構成図(b)参照)
・IPv6アドレス:
「3ffe:501:811:ff03::0/64-3ffe:501:811:ff04::0/64」と「Internet」間
- 「社外アクセスネットワーク」<−>「社外アクセスネットワーク」間での通信の禁止(図11-7 構成図(c)参照)
・IPv6アドレス:
「3ffe:501:811:ff01::0/64」と「3ffe:501:811:ff02::0/64」間
・ただし,ICMPv6は通信可
(3) コンフィグレーション例
- [コマンドによる設定]
- <本装置A>
1 (config)# flow filter Department1 in [flow filter Department1 in] 2 (config)# list 41010 icmp6 any 3ffe:501:811:ff03::/64 action forward [flow filter Department1 in] 3 (config)# list 41020 ip any 3ffe:501:811:ff03::/64 action drop [flow filter Department1 in] 4 (config)# list 41030 icmp6 any 3ffe:501:811:ff04::/64 action forward [flow filter Department1 in] 5 (config)# list 41040 ip any 3ffe:501:811:ff04::/64 action drop [flow filter Department1 in] 6 (config)# list 41050 icmp6 any 3ffe:501:811:ff02::/64 action forward [flow filter Department1 in] 7 (config)# list 41060 ip any 3ffe:501:811:ff02::/64 action drop [flow filter Department1 in] 8 (config)# exit 9 (config)# flow filter Department2 in [flow filter Department2 in] 10 (config)# list 42010 icmp6 any 3ffe:501:811:ff03::/64 action forward [flow filter Department2 in] 11 (config)# list 42020 ip any 3ffe:501:811:ff03::/64 action drop [flow filter Department2 in] 12 (config)# list 42030 icmp6 any 3ffe:501:811:ff04::/64 action forward [flow filter Department2 in] 13 (config)# list 42040 ip any 3ffe:501:811:ff04::/64 action drop [flow filter Department2 in] 14 (config)# list 42050 icmp6 any 3ffe:501:811:ff01::/64 action forward [flow filter Department2 in] 15 (config)# list 42060 ip any 3ffe:501:811:ff01::/64 action drop [flow filter Department2 in] 16 (config)# exit 17 (config)# flow filter Department3 in [flow filter Department3 in] 18 (config)# list 43010 icmp6 any 3ffe:501:811:ff01::/64 action forward [flow filter Department3 in] 19 (config)# list 43020 ip any 3ffe:501:811:ff01::/64 action drop [flow filter Department3 in] 20 (config)# list 43030 icmp6 any 3ffe:501:811:ff02::/64 action forward [flow filter Department3 in] 21 (config)# list 43040 ip any 3ffe:501:811:ff02::/64 action drop [flow filter Department3 in] 22 (config)# list 43050 ip any 3ffe:501:811:fffe::/64 action drop [flow filter Department3 in] 23 (config)# exit 24 (config)# flow filter Department4 in [flow filter Department4 in] 25 (config)# list 44010 icmp6 any 3ffe:501:811:ff01::/64 action forward [flow filter Department4 in] 26 (config)# list 44020 ip any 3ffe:501:811:ff01::/64 action drop [flow filter Department4 in] 27 (config)# list 44030 icmp6 any 3ffe:501:811:ff02::/64 action forward [flow filter Department4 in] 28 (config)# list 44040 ip any 3ffe:501:811:ff02::/64 action drop [flow filter Department4 in] 29 (config)# list 44050 ip any 3ffe:501:811:fffe::/64 action drop [flow filter Department4 in] 30 (config)# exit 31 (config)# flow yes表11-5 本装置Aのコンフィグレーション解説
解説番号 解説 1 インタフェース名Department1のinbound(受信側)にfilterフロー情報を設定します。
flow filter inモードに移行します。2 3ffe:501:811:ff01::/64の社外アクセスネットワークから3ffe:501:811:ff03::/64の社内専用ネットワークへのICMPv6を許可する条件を設定します。 3 3ffe:501:811:ff01::/64の社外アクセスネットワークから3ffe:501:811:ff03::/64の社内専用ネットワークへの通信を禁止する条件を設定します。 4 3ffe:501:811:ff01::/64の社外アクセスネットワークから3ffe:501:811:ff04::/64の社内専用ネットワークへのICMPv6を許可する条件を設定します。 5 3ffe:501:811:ff01::/64の社外アクセスネットワークから3ffe:501:811:ff04::/64の社内専用ネットワークへの通信を禁止する条件を設定します。 6 3ffe:501:811:ff01::/64の社外アクセスネットワークから3ffe:501:811:ff02::/64の社外アクセスネットワークへのICMPv6を許可する条件を設定します。 7 3ffe:501:811:ff01::/64の社外アクセスネットワークから3ffe:501:811:ff02::/64の社外アクセスネットワークへの通信を禁止する条件を設定します。 8 flow filter inモードからグローバルコンフィグモードに戻ります。 9 インタフェース名Department2のinbound(受信側)にfilterフロー情報を設定します。
flow filter inモードに移行します。10 3ffe:501:811:ff02::/64の社外アクセスネットワークから3ffe:501:811:ff03::/64の社内専用ネットワークへのICMPv6を許可する条件を設定します。 11 3ffe:501:811:ff02::/64の社外アクセスネットワークから3ffe:501:811:ff03::/64の社内専用ネットワークへの通信を禁止する条件を設定します。 12 3ffe:501:811:ff02::/64の社外アクセスネットワークから3ffe:501:811:ff04::/64の社内専用ネットワークへのICMPv6を許可する条件を設定します。 13 3ffe:501:811:ff02::/64の社外アクセスネットワークから3ffe:501:811:ff04::/64の社内専用ネットワークへの通信を禁止する条件を設定します。 14 3ffe:501:811:ff02::/64の社外アクセスネットワークから3ffe:501:811:ff01::/64の社外アクセスネットワークへのICMPv6を許可する条件を設定します。 15 3ffe:501:811:ff02::/64の社外アクセスネットワークから3ffe:501:811:ff01::/64の社外アクセスネットワークへの通信を禁止する条件を設定します。 16 flow filter inモードからグローバルコンフィグモードに戻ります。 17 インタフェース名Department3のinbound(受信側)にfilterフロー情報を設定します。
flow filter inモードに移行します。18 3ffe:501:811:ff03::/64の社内専用ネットワークから3ffe:501:811:ff01::/64の社外アクセスネットワークへのICMPv6を許可する条件を設定します。 19 3ffe:501:811:ff03::/64の社内専用ネットワークから3ffe:501:811:ff01::/64の社外アクセスネットワークへの通信を禁止する条件を設定します。 20 3ffe:501:811:ff03::/64の社内専用ネットワークから3ffe:501:811:ff02::/64の社外アクセスネットワークへのICMPv6を許可する条件を設定します。 21 3ffe:501:811:ff03::/64の社内専用ネットワークから3ffe:501:811:ff02::/64の社外アクセスネットワークへの通信を禁止する条件を設定します。 22 3ffe:501:811:ff03::/64の社内専用ネットワークから3ffe:501:811:fffe::/64のInternetへの通信を禁止する条件を設定します。 23 flow filter inモードからグローバルコンフィグモードに戻ります。 24 インタフェース名Department4のinbound(受信側)にfilterフロー情報を設定します。
flow filter inモードに移行します。25 3ffe:501:811:ff04::/64の社内専用ネットワークから3ffe:501:811:ff01::/64の社外アクセスネットワークへのICMPv6を許可する条件を設定します。 26 3ffe:501:811:ff04::/64の社内専用ネットワークから3ffe:501:811:ff01::/64の社外アクセスネットワークへの通信を禁止する条件を設定します。 27 3ffe:501:811:ff04::/64の社内専用ネットワークから3ffe:501:811:ff02::/64の社外アクセスネットワークへのICMPv6を許可する条件を設定します。 28 3ffe:501:811:ff04::/64の社内専用ネットワークから3ffe:501:811:ff02::/64の社外アクセスネットワークへの通信を禁止する条件を設定します。 29 3ffe:501:811:ff04::/64の社内専用ネットワークから3ffe:501:811:fffe::/64のInternetへの通信を禁止する条件を設定します。 30 flow filter inモードからグローバルコンフィグモードに戻ります。 31 フロー制御機能を使用する設定にします。
- [コンフィグレーションの表示]
- <本装置A>
flow yes flow filter Department1 in list 41010 icmp6 any 3ffe:501:811:ff03::/64 action forward list 41020 ip any 3ffe:501:811:ff03::/64 action drop list 41030 icmp6 any 3ffe:501:811:ff04::/64 action forward list 41040 ip any 3ffe:501:811:ff04::/64 action drop list 41050 icmp6 any 3ffe:501:811:ff02::/64 action forward list 41060 ip any 3ffe:501:811:ff02::/64 action drop flow filter Department2 in list 42010 icmp6 any 3ffe:501:811:ff03::/64 action forward list 42020 ip any 3ffe:501:811:ff03::/64 action drop list 42030 icmp6 any 3ffe:501:811:ff04::/64 action forward list 42040 ip any 3ffe:501:811:ff04::/64 action drop list 42050 icmp6 any 3ffe:501:811:ff01::/64 action forward list 42060 ip any 3ffe:501:811:ff01::/64 action drop flow filter Department3 in list 43010 icmp6 any 3ffe:501:811:ff01::/64 action forward list 43020 ip any 3ffe:501:811:ff01::/64 action drop list 43030 icmp6 any 3ffe:501:811:ff02::/64 action forward list 43040 ip any 3ffe:501:811:ff02::/64 action drop list 43050 ip any 3ffe:501:811:fffe::/64 action drop flow filter Department4 in list 44010 icmp6 any 3ffe:501:811:ff01::/64 action forward list 44020 ip any 3ffe:501:811:ff01::/64 action drop list 44030 icmp6 any 3ffe:501:811:ff02::/64 action forward list 44040 ip any 3ffe:501:811:ff02::/64 action drop list 44050 ip any 3ffe:501:811:fffe::/64 action drop
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.