10.2.5　IPヘッダ・TCP/UDPヘッダで中継・廃棄をする設定

〈この項の構成〉

(1)　IPv4アドレスをフロー検出条件とする設定

IPv4アドレスだけをフロー検出条件として，フレームの中継または廃棄を指定する例を次に示します。

［設定のポイント］: フレーム受信時に送信元IPv4アドレスによってだけフロー検出をして，フィルタエントリに一致したフレームを中継します。フィルタエントリに一致しないIPパケットはすべて廃棄します。

［コマンドによる設定］

(config)# ip access-list standard FLOOR_A_PERMIT

ip access-list（FLOOR_A_PERMIT）を作成します。本リストを作成すると，IPv4アドレスフィルタの動作モードに移行します。
(config-std-nacl)# permit 192.0.2.0 0.0.0.255

送信元IPアドレス192.0.2.0/24　ネットワークからのフレームを中継するIPv4アドレスフィルタを設定します。
(config-std-nacl)# exit

IPv4アドレスフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
(config)# interface gigabitethernet 1/1.10

イーサネットサブインタフェース1/1.10のコンフィグレーションモードに移行します。
(config-subif)# ip access-group FLOOR_A_PERMIT in

受信側にIPv4アドレスフィルタを適用します。

IPv4 HTTPパケットをフロー検出条件として，フレームの中継または廃棄を指定する例を次に示します。

［コマンドによる設定］

(config)# ip access-list extended HTTP_DENY

ip access-list（HTTP_DENY）を作成します。本リストを作成すると，IPv4パケットフィルタの動作モードに移行します。
(config-ext-nacl)# deny tcp any any eq http

HTTPパケットを廃棄するIPv4パケットフィルタを設定します。
(config-ext-nacl)# permit ip any any

すべてのフレームを中継するIPv4パケットフィルタを設定します。
(config-ext-nacl)# exit

IPv4アドレスフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
(config)# interface port-channel 10.10

ポートチャネルサブインタフェース10.10のコンフィグレーションモードに移行します。
(config-subif)# ip access-group HTTP_DENY in

受信側にIPv4パケットフィルタを適用します。

IPv6パケットをフロー検出条件として，フレームの中継または廃棄を指定する例を次に示します。

［設定のポイント］: フレーム受信時にIPv6アドレスによってフロー検出をして，フィルタエントリに一致したフレームを中継します。フィルタエントリに一致しないIPv6パケットはすべて廃棄します。

［コマンドによる設定］

(config)# ipv6 access-list FLOOR_B_PERMIT

ipv6 access-list（FLOOR_B_PERMIT）を作成します。本リストを作成すると，IPv6フィルタの動作モードに移行します。
(config-ipv6-acl)# permit ipv6 2001:db8::/32 any

送信元IPアドレス2001:db8::/32からのフレームを中継するIPv6フィルタを設定します。
(config-ipv6-acl)# exit

IPv6フィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
(config)# interface gigabitethernet 1/1

イーサネットインタフェース1/1のコンフィグレーションモードに移行します。
(config-if)# ipv6 traffic-filter FLOOR_B_PERMIT in

受信側にIPv6フィルタを適用します。