10.2.5 IPヘッダ・TCP/UDPヘッダで中継・廃棄をする設定
(1) IPv4アドレスをフロー検出条件とする設定
IPv4アドレスだけをフロー検出条件として,フレームの中継または廃棄を指定する例を次に示します。
- [設定のポイント]
-
フレーム受信時に送信元IPv4アドレスによってだけフロー検出をして,フィルタエントリに一致したフレームを中継します。フィルタエントリに一致しないIPパケットはすべて廃棄します。
[コマンドによる設定]
-
(config)# ip access-list standard FLOOR_A_PERMIT
ip access-list(FLOOR_A_PERMIT)を作成します。本リストを作成すると,IPv4アドレスフィルタの動作モードに移行します。
-
(config-std-nacl)# permit 192.0.2.0 0.0.0.255
送信元IPアドレス192.0.2.0/24 ネットワークからのフレームを中継するIPv4アドレスフィルタを設定します。
-
(config-std-nacl)# exit
IPv4アドレスフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
-
(config)# interface gigabitethernet 1/1.10
イーサネットサブインタフェース1/1.10のコンフィグレーションモードに移行します。
-
(config-subif)# ip access-group FLOOR_A_PERMIT in
受信側にIPv4アドレスフィルタを適用します。
(2) IPv4パケットをフロー検出条件とする設定
IPv4 HTTPパケットをフロー検出条件として,フレームの中継または廃棄を指定する例を次に示します。
- [設定のポイント]
-
フレーム受信時にIPヘッダおよびTCP/UDPヘッダによってフロー検出をして,フィルタエントリに一致したフレームを廃棄します。
[コマンドによる設定]
-
(config)# ip access-list extended HTTP_DENY
ip access-list(HTTP_DENY)を作成します。本リストを作成すると,IPv4パケットフィルタの動作モードに移行します。
-
(config-ext-nacl)# deny tcp any any eq http
HTTPパケットを廃棄するIPv4パケットフィルタを設定します。
-
(config-ext-nacl)# permit ip any any
すべてのフレームを中継するIPv4パケットフィルタを設定します。
-
(config-ext-nacl)# exit
IPv4アドレスフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
-
(config)# interface port-channel 10.10
ポートチャネルサブインタフェース10.10のコンフィグレーションモードに移行します。
-
(config-subif)# ip access-group HTTP_DENY in
受信側にIPv4パケットフィルタを適用します。
(3) IPv6パケットをフロー検出条件とする設定
IPv6パケットをフロー検出条件として,フレームの中継または廃棄を指定する例を次に示します。
- [設定のポイント]
-
フレーム受信時にIPv6アドレスによってフロー検出をして,フィルタエントリに一致したフレームを中継します。フィルタエントリに一致しないIPv6パケットはすべて廃棄します。
[コマンドによる設定]
-
(config)# ipv6 access-list FLOOR_B_PERMIT
ipv6 access-list(FLOOR_B_PERMIT)を作成します。本リストを作成すると,IPv6フィルタの動作モードに移行します。
-
(config-ipv6-acl)# permit ipv6 2001:db8::/32 any
送信元IPアドレス2001:db8::/32からのフレームを中継するIPv6フィルタを設定します。
-
(config-ipv6-acl)# exit
IPv6フィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
-
(config)# interface gigabitethernet 1/1
イーサネットインタフェース1/1のコンフィグレーションモードに移行します。
-
(config-if)# ipv6 traffic-filter FLOOR_B_PERMIT in
受信側にIPv6フィルタを適用します。