• 検索結果がありません。

MAC フィルタ機能

第二章 機能概要

2.10. MAC フィルタ機能

MACフィルタ機能では、本装置を経由するパケットをMACアドレス、パケット形式、VLAN ID、COS値、IP ア ドレス、ポート番号などの組み合わせで制御することによって、ネットワークのセキュリティを向上させたり、

ネットワークへの負荷を軽減することができます。

本装置を通過したパケットがACL 内の"acl mac" 定義、"acl vlan" 定義、"acl ip" 定義、"acl ip6" 定義、"acl tcp" 定義、"acl udp" 定義、および"acl icmp" 定義に該当した場合にMACフィルタ処理が動作します。

MAC フィルタの条件

以下の条件を指定することによって、パケットデータの流れを制御できます。

• パケット入力ポート

フィルタ処理の対象となるパケット入力ETHERポート

• 動作

フィルタ処理の対象となるパケットが入力ETHERポートに入力された場合の動作(遮断または透過)

• ACL番号

MACフィルタの条件となるパケットパターンを定義したACL 番号

MAC フィルタ機能の適用範囲

MACフィルタ機能では、ACL で指定したパケットパターンのフィルタを以下の単位で適用指定できます。

• ETHERポート

ether コマンドで設定します。ETHERポートに対して、指定したACL のパケットパターンに一致した入力パ ケットに対して、フィルタ処理を実施します。

• VLAN

vlan コマンドで設定します。VLANに属するETHERポートに対して、指定したACL のパケットパターンに一 致した入力パケットに対して、フィルタ処理を実施します。同一VLAN内のすべてのETHERポートに適用す る場合に使用します。

装置に設定可能な上限

装置に設定可能な上限を以下に示します。

• 設定コマンドによる上限:

- CEE機能を使用する場合、装置全体で 62 個 - CEE機能を使用しない場合、装置全体で 64 個

"macfilter"、"vlan macfilter"、 "lan ip filter"、"qos aclmap"、"vlan qos aclmap"、"lan ip dscp"、

"ip6filter"、"vlan ip6filter"、"lan ip6 filter"、"ip6qos aclmap"、"vlan ip6qos aclmap"、"lan ip6 dscp"

コマンド合わせて設定コマンドによる上限まで設定可能です。

優先順位は、それぞれ以下のようになります。

- コマンドの適用優先順は、"macfilter"、"vlan macfilter"、 "lan ip filter"、"qos aclmap"、"vlan qos aclmap"、"lan ip dscp"、"ip6filter"、"vlan ip6filter"、"lan ip6 filter"、"ip6qos aclmap"、"vlan ip6qos aclmap"、"lan ip6 dscp" コマンドの順番です。

- etherポート間の優先順位は、ether ポート番号が小さいほうが高くなります。

- VLAN間の優先順位は、VLAN ID が小さいほうが高くなります。

• マスク数による上限:

- CEE機能を使用する場合、装置全体で 62 個

優先順位は、それぞれ以下のようになります。

- コマンドの適用優先順は、"vlan protocol"、"macfilter"、"vlan macfilter"、 "lan ip filter"、"qos aclmap"、"vlan qos aclmap"、"lan ip dscp"、"ip6filter"、"vlan ip6filter"、"lan ip6 filter"、"ip6qos aclmap"、"vlan ip6qos aclmap"、"lan ip6 dscp" コマンドの順番です。

- etherポート間の優先順位は、ether ポート番号が小さいほうが高くなります。

- VLAN間の優先順位は、VLAN ID が小さいほうが高くなります。

"macfilter"、"vlan macfilter"、 "lan ip filter"、"qos aclmap"、"vlan qos aclmap"、"lan ip dscp"、

"ip6filter"、"vlan ip6filter"、"lan ip6 filter"、"ip6qos aclmap"、"vlan ip6qos aclmap"、"lan ip6 dscp” コマンドが消費するマスク数は、適用するacl によって以下のようになります。

複数のacl を適用する場合はそれぞれの合計となりますが、組み合わせによりそれぞれの合計 以下となることがあります。

適用するaclの条件 マスク数

acl mac 定義の場合

llcのLSAPを指定する場合 3

llcのLSAPを指定しない場合 1

acl vlan 定義の場合 1

acl ip 定義の場合

srcIPアドレスを指定指定しない場合

tos値/ dscp値を指定しない場合 1 tos値/ dscp値を指定する場合 3 srcIPアドレスを指定指定する場合

dstIPアドレスを指定しない場合 1

dstIPアドレスを指定する場合

srcIPとdstIPのマスク値が同じ場合

tos値/ dscp値を指定しない場合 1 tos値/ dscp値を指定する場合 3

srcIPとdstIPのマスク値が異なる場合 3

acl ip6 定義の場合

srcIPアドレスを指定指定しない場合

tc値/ dscp値を指定しない場合 1 tc値/ dscp値を指定する場合 3 srcIPアドレスを指定指定する場合

dstIPアドレスを指定しない場合 3

dstIPアドレスを指定する場合

tc値/ dscp値を指定しない場合 3 tc値/ dscp値を指定する場合 5

“vlan protocol”コマンドが消費するマスク値は以下のようになります。

適用するaclの条件 マスク数

プロトコルVLAN定義の場合

vlan protocol ipv4を指定する場合 3

vlan protocol ipv6を指定する場合 1

vlan protocol <count> etherを指定する場合 1 vlan protocol <count> llcを指定する場合 1 アクション数による上限:

- CEE機能を使用する場合、装置全体で 15 個 - CEE機能を使用しない場合、装置全体で 16 個

"qos aclmap"、"vlan qos aclmap"、"lan ip dscp"、"ip6qos aclmap"、"vlan ip6qos aclmap"、"lan ip6

優先順位は、それぞれ以下のようになります。

- コマンドの適用優先順は、"vlan protocol"、"qos aclmap"、"vlan qos aclmap"、"lan ip dscp"、

"ip6qos aclmap"、"vlan ip6qos aclmap"、"lan ip6 dscp” コマンドの順番です。

- etherポート間の優先順位は、ether ポート番号が小さいほうが高くなります。

- VLAN間の優先順位は、VLAN ID が小さいほうが高くなります。

以下のコマンドが設定されている場合に1 アクションが消費されますが、コマンドの指定数にかか わらず1 アクションのみ消費されます。

- vlan <vid> protocol ipv4 - vlan <vid> protocol ipv6

以下のコマンドが設定されている場合に1 アクションが消費されます。

<tos_value>、<dscp_value>、<queue_value> が同じ場合は、コマンドの指定数にかかわらず1 アク ションのみ消費されます。

- interface Configモード

- qos aclmap <count> tos <tos_value> <acl>

- qos aclmap <count> dscp <dscp_value> <acl>

- qos aclmap <count> queue <queue_value> <acl>

- ip6qos aclmap <count> dscp <dscp_value> <acl>

- ip6qos aclmap <count> queue <queue_value> <acl>

- vlan <vid> qos aclmap <count> tos <tos_value> <acl>

- vlan <vid> qos aclmap <count> dscp <dscp_value> <acl>

- vlan <vid> qos aclmap <count> queue <queue_value> <acl>

- vlan <vid> ip6qos aclmap <count> dscp <dscp_value> <acl>

- vlan <vid> ip6qos aclmap <count> queue <queue_value> <acl>

- lan <number> ip dscp <count> acl <acl_count> <dscp_value>

- lan <number> ip6 dscp <count> acl <acl_count> <dscp_value>

以下のコマンドで、chengeQueueが設定されている場合に1 アクションが消費されます。

- interface Configモード

- qos aclmap <count> tos <tos_value> <acl> [ chengeQueue ] - qos aclmap <count> dscp <dscp_value> <acl> [ chengeQueue ] - ip6qos aclmap <count> dscp <dscp_value> <acl> [ chengeQueue ] - vlan <vid> qos aclmap <count> tos <tos_value> <acl> [ chengeQueue ] - vlan <vid> qos aclmap <count> dscp <dscp_value> <acl> [ chengeQueue ] - vlan <vid> ip6qos aclmap <count> dscp <dscp_value> <acl> [ chengeQueue ] 以下のコマンドが設定されている場合に1 アクションが消費されます。

<vid> が同じ場合は、コマンドの指定数にかかわらず1 アクションのみ消費されます。

- vlan <vid> protocol <count> ether - vlan <vid> protocol <count> llc こんな事に気をつけて

プロトコルVLAN機能と併用した場合、プロトコルVLANとして認識されるフレームへの MACフィルタ機能は無効となります。

なお、プロトコルVLANとして認識されるフレームについては “vlan protocol” コマンド 項目を参照してください。

今ダウンロードする "PRIMERGY スイッチブレ..."

Outline

関連したドキュメント