古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 
設定例
静的フィルタリング
概要
192.168.0.2からのパケット、2002:901::280:bdff:feaa:aaaa 宛のパケットを中継しないという形態を考えます。
補足・注意点
受信側フィルタリング設定をした場合は設定内容に従ってフィルタリングを実施します。
設定に一致しないパケットは廃棄となります。
構成図
設定データの例
設定内容 設定モード 設定コマンド名 設定項目 入力値 備考
LAN側IPアドレス Port-channelインタフェース設定モード ip address LAN側IPアドレス 192.168.0.1
サブネットマスク 255.255.255.0
ipv6 address グローバルIPアドレス 2002:901::/64
ホストアドレス EUI-64形式
フィルタリング情報 基本設定モード access-list access-list番号 100、110
192.168.0.2を中継しない deny 192.168.0.2
access-list番号 199
192.168.0.2以外を許可する permit any
access-list番号 4000、4100
2002:901::280:bdff:feaa:aaaa
を中継しない
deny
2002:901::280:bdff:feaa:aaaa
access-list番号 4999
2002:901::280:bdff:feaa:aaaa
以外を許可する
permit any
フィルタリング情報の適用 GigaEthernetインタフェース設定モード ip access-group 適用するアクセスリストを指定 100 in 上記6エントリを有効
110 out
199 in
ipv6 access-group 4000 in
4100 out
4999 in


コマンド設定の例
(!の行はコメントです。実際に入力する必要はありません。)
この設定を利用したい方は
!
!
! 特権ユーザモードに移行します。
!
> enable
password: super ←パスワードを入力します。(実際は表示されない)
!
!
! 基本設定モードに移行します。
!
#configure terminal

(config)#
!
!
! フィルタリング情報を登録します。
(config)#access-list 100 deny ip 192.168.0.2 0.0.0.0 any
(config)#access-list 110 deny ip any 192.168.0.2 0.0.0.0
(config)#access-list 199 permit ip any any
(config)#access-list 4000 deny ipv6 2002:901::280:bdff:feaa:aaaa/128 any
(config)#access-list 4100 deny ipv6 any 2002:901::280:bdff:feaa:aaaa/128
(config)#access-list 4999 permit ipv6 any any
!
!
! Port-channel にLAN側IPアドレスを設定します。
!
(config)#interface Port-channel 1
(config-if-ch 1)# ip address 192.168.0.1 255.255.255.0
(config-if-ch 1)# ipv6 address 2002:901::/64 eui-64
(config-if-ch 1)# ipv6 nd send-ra
(config-if-ch 1)#exit
!
!
! GigaEthernet インタフェースに、port-channel 、及びアクセスリストをリンク付けします。
!
(config)#interface GigaEthernet 1/1 *1
(config-if-ge 1/1)# vlan-id 1
(config-if-ge 1/1)# bridge-group 1
(config-if-ge 1/1)# channel-group 1
(config-if-ge 1/1)# ip access-group 100 in
(config-if-ge 1/1)# ip access-group 110 out
(config-if-ge 1/1)# ip access-group 199 in
(config-if-ge 1/1)# ipv6 access-group 4000 in
(config-if-ge 1/1)# ipv6 access-group 4100 out
(config-if-ge 1/1)# ipv6 access-group 4999 in
(config-if-ge 1/1)#exit
!
(config)#interface GigaEthernet 1/2 *1
(config-if-ge 1/2)# vlan-id 1
(config-if-ge 1/2)# bridge-group 1
(config-if-ge 1/2)# channel-group 1
(config-if-ge 1/2)# ip access-group 100 in
(config-if-ge 1/2)# ip access-group 110 out
(config-if-ge 1/2)# ip access-group 199 in
(config-if-ge 1/2)# ipv6 access-group 4000 in
(config-if-ge 1/2)# ipv6 access-group 4100 out
(config-if-ge 1/2)# ipv6 access-group 4999 in
(config-if-ge 1/2)#exit
!
(config)#interface GigaEthernet 1/3 *1
(config-if-ge 1/3)# vlan-id 1
(config-if-ge 1/3)# bridge-group 1
(config-if-ge 1/3)# channel-group 1
(config-if-ge 1/3)# ip access-group 100 in
(config-if-ge 1/3)# ip access-group 110 out
(config-if-ge 1/3)# ip access-group 199 in
(config-if-ge 1/3)# ipv6 access-group 4000 in
(config-if-ge 1/3)# ipv6 access-group 4100 out
(config-if-ge 1/3)# ipv6 access-group 4999 in
(config-if-ge 1/3)#exit
!
(config)#interface GigaEthernet 1/4 *1
(config-if-ge 1/4)# vlan-id 1
(config-if-ge 1/4)# bridge-group 1
(config-if-ge 1/4)# channel-group 1
(config-if-ge 1/4)# ip access-group 100 in
(config-if-ge 1/4)# ip access-group 110 out
(config-if-ge 1/4)# ip access-group 199 in
(config-if-ge 1/4)# ipv6 access-group 4000 in
(config-if-ge 1/4)# ipv6 access-group 4100 out
(config-if-ge 1/4)# ipv6 access-group 4999 in
(config-if-ge 1/4)#exit
!
!
! 特権ユーザモードに戻ります。
!
(config)#end
!
! 設定を保存します。
! 任意の名前で保存して下さい(*2)。
!
#save [ファイル名]
!
!
! 設定を有効にするために refresh をします。
!
#refresh
refresh ok?[y/N]:yes
..................Done


*1:物理ポート番号の設定
*2:ファイル名を省略した場合、boot.cfgで保存されます。
   装置起動時に適用する設定はboot configurationコマンドで指定することができます(デフォルトはboot.cfg)。

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2019