(4) BPDU ガード
8.2 コンフィグレーション
[設定のポイント]
フロー検出モードはデフォルトではエントリ数重視モードです。設定したフロー検出モードを反映さ せるために,すべての PRU を再起動してください。
[コマンドによる設定]
1.(config)# flow detection mode condition-oriented
グローバルコンフィグレーションモードでフロー検出モードを検出条件数重視モードに設定します。
[注意事項]
• エントリ数重視モードには,すべてのインタフェースに Advance アクセスリストおよび Advance QoS フローリストが適用されていないときに変更できます。
• 検出条件数重視モードには,フィルタ・QoS フローのエントリ数が収容条件以内のときに変更でき ます。
8.2.3 MAC ヘッダで中継・廃棄をする設定
MAC ヘッダをフロー検出条件として,フレームの中継または廃棄を指定する例を次に示します。
[設定のポイント]
フレーム受信時に MAC ヘッダによってフロー検出をして,フィルタエントリに一致したフレームを中 継または廃棄します。
[コマンドによる設定]
1.(config)# mac access-list extended IPX_DENY
mac access-list(IPX_DENY)を作成します。本リストを作成すると,MAC フィルタの動作モードに 移行します。
2.(config-ext-macl)# deny any any ipx
イーサネットタイプが IPX のフレームを廃棄する MAC フィルタを設定します。
3.(config-ext-macl)# permit any any
すべてのフレームを中継する MAC フィルタを設定します。
4.(config-ext-macl)# exit
MAC フィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
5.(config)# interface gigabitethernet 1/1
イーサネットインタフェース 1/1 のコンフィグレーションモードに移行します。
6.(config-if)# mac access-group IPX_DENY in 受信側に MAC フィルタを適用します。
8.2.4 IP ヘッダ・TCP/UDP ヘッダで中継・廃棄をする設定
(1) IPv4 アドレスをフロー検出条件とする設定
IPv4 アドレスだけをフロー検出条件として,フレームの中継または廃棄を指定する例を次に示します。
[設定のポイント]
フレーム受信時に送信元 IPv4 アドレスによってだけフロー検出をして,フィルタエントリに一致した フレームを中継します。フィルタエントリに一致しない IP パケットはすべて廃棄します。
8 フィルタ
150
[コマンドによる設定]
1.(config)# ip access-list standard FLOOR_A_PERMIT
ip access-list(FLOOR_A_PERMIT)を作成します。本リストを作成すると,IPv4 アドレスフィルタ の動作モードに移行します。
2.(config-std-nacl)# permit 192.0.2.0 0.0.0.255
送信元 IP アドレス 192.0.2.0/24 ネットワークからのフレームを中継する IPv4 アドレスフィルタを 設定します。
3.(config-std-nacl)# exit
IPv4 アドレスフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
4.(config)# interface gigabitethernet 1/1.10
イーサネットサブインタフェース 1/1.10 のコンフィグレーションモードに移行します。
5.(config-subif)# ip access-group FLOOR_A_PERMIT in 受信側に IPv4 アドレスフィルタを適用します。
(2) IPv4 パケットをフロー検出条件とする設定
IPv4 HTTP パケットをフロー検出条件として,フレームの中継または廃棄を指定する例を次に示します。
[設定のポイント]
フレーム受信時に IP ヘッダおよび TCP/UDP ヘッダによってフロー検出をして,フィルタエントリに 一致したフレームを廃棄します。
[コマンドによる設定]
1.(config)# ip access-list extended HTTP_DENY
ip access-list(HTTP_DENY)を作成します。本リストを作成すると,IPv4 パケットフィルタの動作 モードに移行します。
2.(config-ext-nacl)# deny tcp any any eq http
HTTP パケットを廃棄する IPv4 パケットフィルタを設定します。
3.(config-ext-nacl)# permit ip any any
すべてのフレームを中継する IPv4 パケットフィルタを設定します。
4.(config-ext-nacl)# exit
IPv4 アドレスフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
5.(config)# interface port-channel 10.10
ポートチャネルサブインタフェース 10.10 のコンフィグレーションモードに移行します。
6.(config-subif)# ip access-group HTTP_DENY in 受信側に IPv4 パケットフィルタを適用します。
(3) IPv6 パケットをフロー検出条件とする設定
IPv6 パケットをフロー検出条件として,フレームの中継または廃棄を指定する例を次に示します。
[設定のポイント]
フレーム受信時に IPv6 アドレスによってフロー検出をして,フィルタエントリに一致したフレームを 中継します。フィルタエントリに一致しない IPv6 パケットはすべて廃棄します。
8 フィルタ
[コマンドによる設定]
1.(config)# ipv6 access-list FLOOR_B_PERMIT
ipv6 access-list(FLOOR_B_PERMIT)を作成します。本リストを作成すると,IPv6 フィルタの動作 モードに移行します。
2.(config-ipv6-acl)# permit ipv6 2001:db8::/32 any
送信元 IP アドレス 2001:db8::/32 からのフレームを中継する IPv6 フィルタを設定します。
3.(config-ipv6-acl)# exit
IPv6 フィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
4.(config)# interface gigabitethernet 1/1
イーサネットインタフェース 1/1 のコンフィグレーションモードに移行します。
5.(config-if)# ipv6 traffic-filter FLOOR_B_PERMIT in 受信側に IPv6 フィルタを適用します。
8.2.5 MAC ヘッダ・IP ヘッダ・TCP/UDP ヘッダで中継・廃棄をする 設定
(1) MAC ヘッダ・IPv4 ヘッダ・TCP ヘッダをフロー検出条件とする設定
MAC ヘッダ,IPv4 ヘッダ,および TCP ヘッダをフロー検出条件として,フレームの中継または廃棄を指 定する例を次に示します。
[設定のポイント]
フレーム受信時に送信元 MAC アドレス,送信元 IPv4 アドレス,および TCP ヘッダによってフロー検 出をして,フィルタエントリに一致したフレームを中継します。フィルタエントリに一致しないすべて のフレームを廃棄します。
[コマンドによる設定]
1.(config)# advance access-list ADVANCE_ACL_A_PERMIT
advance access-list(ADVANCE_ACL_A_PERMIT)を作成します。本リストを作成すると,
Advance フィルタの動作モードに移行します。
2.(config-adv-acl)# permit mac-ip host 0012.e200.0001 any tcp 192.0.2.0 0.0.0.255 any eq http 送信元 MAC アドレス 0012.e200.0001,送信元 IP アドレス 192.0.2.0/24 の HTTP パケットを中継 する Advance フィルタを設定します。
3.(config-adv-acl)# exit
Advance フィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
4.(config)# interface gigabitethernet 1/1.10
イーサネットサブインタフェース 1/1.10 のコンフィグレーションモードに移行します。
5.(config-subif)# advance access-group ADVANCE_ACL_A_PERMIT in 受信側に Advance フィルタを適用します。
(2) MAC ヘッダ・IPv6 ヘッダ・UDP ヘッダをフロー検出条件とする設定
MAC ヘッダ,IPv6 ヘッダ,および UDP ヘッダをフロー検出条件として,フレームの中継または廃棄を 指定する例を次に示します。
8 フィルタ
152
[設定のポイント]
フレーム受信時に送信元 MAC アドレス,送信元 IPv6 アドレス,および UDP ヘッダによってフロー 検出をして,フィルタエントリに一致したフレームを中継します。フィルタエントリに一致しないすべ てのフレームを廃棄します。
[コマンドによる設定]
1.(config)# advance access-list ADVANCE_ACL_B_PERMIT
advance access-list(ADVANCE_ACL_B_PERMIT)を作成します。本リストを作成すると,
Advance フィルタの動作モードに移行します。
2.(config-adv-acl)# permit mac-ipv6 host 0012.e200.0001 any udp 2001:db8::/32 any eq ntp 送信元 MAC アドレス 0012.e200.0001,送信元 IP アドレス 2001:db8::/32 の NTP パケットを中継 する Advance フィルタを設定します。
3.(config-adv-acl)# exit
Advance フィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
4.(config)# interface port-channel 10.10
ポートチャネルサブインタフェース 10.10 のコンフィグレーションモードに移行します。
5.(config-subif)# advance access-group ADVANCE_ACL_B_PERMIT in 受信側に Advance フィルタを適用します。
8.2.6 複数インタフェースに対するフィルタの設定
複数のイーサネットインタフェースにフィルタを設定する例を次に示します。
[設定のポイント]
config-if-range モードで複数のイーサネットインタフェースにフィルタを設定できます。
[コマンドによる設定]
1.(config)# ip access-list standard FLOOR_C_PERMIT
ip access-list(FLOOR_C_PERMIT)を作成します。本リストを作成すると,IPv4 アドレスフィルタ の動作モードに移行します。
2.(config-std-nacl)# permit 192.0.2.0 0.0.0.255
送信元 IP アドレス 192.0.2.0/24 ネットワークからのフレームを中継する IPv4 アドレスフィルタを 設定します。
3.(config-std-nacl)# exit
IPv4 アドレスフィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
4.(config)# interface range gigabitethernet 1/1-4
イーサネットインタフェース 1/1-4 のコンフィグレーションモードに移行します。
5.(config-if-range)# ip access-group FLOOR_C_PERMIT in 受信側に IPv4 アドレスフィルタを適用します。
8.2.7 VLAN インタフェースに対するフィルタの設定
VLAN インタフェースにフィルタを設定する例を次に示します。
8 フィルタ
[設定のポイント]
VLAN インタフェースで MAC ヘッダおよび IPv6 ヘッダによってフロー検出をして,フィルタエント リに一致したフレームを中継します。フィルタエントリに一致しないすべてのフレームを廃棄します。
[コマンドによる設定]
1.(config)# advance access-list ADVANCE_FLOOR_V6_PERMIT
advance access-list(ADVANCE_FLOOR_V6_PERMIT)を作成します。本リストを作成すると,
Advance フィルタの動作モードに移行します。
2.(config-adv-acl)# permit mac-ipv6 0012.e200.1234 0000.0000.ffff any ipv6 any any
送信元 MAC アドレスの上位 4 バイトが 0012.e200,下位 2 バイトが任意の IPv6 パケットを中継する Advance フィルタを設定します。
3.(config-adv-acl)# exit
Advance フィルタの動作モードからグローバルコンフィグレーションモードに戻ります。
4.(config)# interface vlan 10
VLAN インタフェース 10 のコンフィグレーションモードに移行します。
5.(config-if)# advance access-group ADVANCE_FLOOR_V6_PERMIT in 受信側に Advance フィルタを適用します。
8 フィルタ
154