アライドファン.comは、佐々木ネットワークテクノロジーズが運営する、ネットワーク技術情報サイトです。
佐々木ネットワークテクノロジーズ
〒761-8073 香川県高松市太田下町2456
8624, 8724, 8748シリーズのスイッチは、アクセス制限のためのフィルタリング設定が可能である。
フィルタリングは、このシリーズでは、ハードウェアIPフィルタと、ソフトウェアIPフィルタの2種類が使用可能であり、どちらか一方しか使用できない。
なお9924のように、ハードウェアフィルタ機能しか持たないスイッチもある。
ハードウェアIPフィルタとソフトウェアIPフィルタの違いは以下の通り。
最初に決めなければならないことは、フィルタの適用方針である。つまり、
このシリーズのスイッチのソフトウェアIPフィルターでは、初期状態では、「フィルターに一致しなかったパケットは破棄する」というルールがある。そのため、通過させたいルールのみ記述する方針では、デフォルト許可のルールを作成する必要はない。逆に遮断させたいルールのみ記述する方針では、デフォルト許可のルールを作成しないと、VLANにフィルタを適用したとたんに、全てのトラフィックが廃棄されるようになってしまうので注意が必要である。
フィルタのルールは、発信元IPアドレスとサブネットマスク、宛先IPアドレスとサブネットマスクの他、プロトコルやポート番号による指定も可能である。但しプロトコルやポート番号による設定を行うと、Pingによる導通確認ができなくなるなど管理上支障を来すので、特に必要がある場合以外はIPアドレスのみの設定とした方が良い。
次に、具体的な設定例について見ていくことにする。
最も簡単な設定例として、「あるセグメントから、別のあるセグメントへの通信を遮断し、他は通過させる」という例を示す。
上の例では、192.168.10.0/255.255.255.0から192.168.20.0/255.255.255.0への通信を遮断し、それ以外の通信(source=0.0.0.0で指定)を通過するフィルタを、フィルタ番号0で作成し、このルールをVLAN10に対して適用している。
フィルタのルールに関して、入力順にエントリー番号が自動的に割り振られ、エントリー番号の若い順に判定が行われる。そのため、デフォルト許可のルールは最後に入力しなければならない。
このエントリー番号は、 show ip filterコマンドによって確認できる。
デフォルト許可のルールを作成した後で、遮断のルールを追加したくなった場合は、show ip flterコマンドでデフォルト許可のエントリー番号を確認した上で、delete ip filterコマンドで一旦デフォルト許可のルールを削除し、新しいルールを追加した上で、再度デフォルト許可のルールを登録しなければならない。
フィルタリングは、このシリーズでは、ハードウェアIPフィルタと、ソフトウェアIPフィルタの2種類が使用可能であり、どちらか一方しか使用できない。
なお9924のように、ハードウェアフィルタ機能しか持たないスイッチもある。
ハードウェアIPフィルタとソフトウェアIPフィルタの違いは以下の通り。
| ハードウェアIPフィルタ | ソフトウェアIPフィルタ | |
| 速度 | ハードウェアで処理するため高速 | ソフトウェアで処理するため低速 |
| フィルタリング対象 | スイッチを通過するフレーム 同一VLANでもフィルタリング可能 |
ルーティングされるフレーム 同一VLANはフィルタリング不可能 |
| フィルタリング単位 | スイッチのポート単位 | VLAN単位 |
| 制限事項 | PPPoE機能との併用不可 ファイアウォールとの併用不可 |
|
| フィルタに一致し なかったフレーム |
通過 | 遮断 |
| 設定の難易度 | やや難 | 比較的容易 |
1. ソフトウエアIPフィルタ
まず、設定が比較的容易なソフトウェアIPフィルタの設定方法について説明する。最初に決めなければならないことは、フィルタの適用方針である。つまり、
- 通過させたいルールのみ記述し、ルールに一致しないパケットは破棄する
- 遮断したいルールのみ記述し、ルールに一致しないパケットは通過する
このシリーズのスイッチのソフトウェアIPフィルターでは、初期状態では、「フィルターに一致しなかったパケットは破棄する」というルールがある。そのため、通過させたいルールのみ記述する方針では、デフォルト許可のルールを作成する必要はない。逆に遮断させたいルールのみ記述する方針では、デフォルト許可のルールを作成しないと、VLANにフィルタを適用したとたんに、全てのトラフィックが廃棄されるようになってしまうので注意が必要である。
フィルタのルールは、発信元IPアドレスとサブネットマスク、宛先IPアドレスとサブネットマスクの他、プロトコルやポート番号による指定も可能である。但しプロトコルやポート番号による設定を行うと、Pingによる導通確認ができなくなるなど管理上支障を来すので、特に必要がある場合以外はIPアドレスのみの設定とした方が良い。
次に、具体的な設定例について見ていくことにする。
最も簡単な設定例として、「あるセグメントから、別のあるセグメントへの通信を遮断し、他は通過させる」という例を示す。
| add ip fil=0 so=192.168.10.0 sm=255.255.255.0 des=192.168.20.0 dm=255.255.255.0
ac=exclude add ip fil=0 so=0.0.0.0 ac=include set ip int=vlan10 fil=0 |
上の例では、192.168.10.0/255.255.255.0から192.168.20.0/255.255.255.0への通信を遮断し、それ以外の通信(source=0.0.0.0で指定)を通過するフィルタを、フィルタ番号0で作成し、このルールをVLAN10に対して適用している。
フィルタのルールに関して、入力順にエントリー番号が自動的に割り振られ、エントリー番号の若い順に判定が行われる。そのため、デフォルト許可のルールは最後に入力しなければならない。
このエントリー番号は、 show ip filterコマンドによって確認できる。
デフォルト許可のルールを作成した後で、遮断のルールを追加したくなった場合は、show ip flterコマンドでデフォルト許可のエントリー番号を確認した上で、delete ip filterコマンドで一旦デフォルト許可のルールを削除し、新しいルールを追加した上で、再度デフォルト許可のルールを登録しなければならない。
バナースペース
佐々木ネットワークテクノロジーズ
Mail. inq08@allied-fan.com