このタスクの例では、12.0.0.100 という IP アドレスを持つホストからの IP トラフィックをブロックする方法を示します。このタスクのトポロジについては、Basic SEFOS Topologyを参照してください。
フィルタタイプは拡張または標準です。標準フィルタは、発信元 IP アドレスと宛先 IP アドレスに基づいて、トラフィックをフィルタ処理します。拡張フィルタでは、プロトコル ID、TCP/UDP ポート番号、DSCP 値、およびフローラベルも指定できます。この例では、12.0.0.100 という発信元アドレスを持つ IP パケットがフィルタ処理されます。
ACL フィルタは、スイッチに構成またはプログラムされている特定のフィルタリング条件に基づいて、ハードウェアでパケットをフィルタ処理します。スイッチは、構成されているアクセスリストに基づいて各パケットを検査し、ブロックするべきか転送するべきかを判定します。SEFOS-1 スイッチで次のコマンドを入力します。
Connect to SEFOSを参照してください。
SEFOS-1# configure terminal SEFOS-1(config)# interface vlan 1 SEFOS-1(config-if)# shutdown SEFOS-1(config-if)# ip address 12.0.0.1 255.0.0.0 SEFOS-1(config-if)# no shutdown SEFOS-1(config-if)# exit SEFOS-1(config)# interface xl-ethernet 0/25 SEFOS-1(config-if)# no shutdown SEFOS-1(config-if)# exit SEFOS-1(config)# interface xl-ethernet 0/26 SEFOS-1(config-if)# no shutdown SEFOS-1(config-if)# exit
SEFOS-1(config)# ip access-list extended 11
SEFOS-1(config-ext-nacl)# deny ip host 12.0.0.100 any SEFOS-1(config-ext-nacl)# end
# ping 12.0.0.17 12.0.0.17 is alive
SEFOS-1(config)# interface xl-ethernet 0/25 SEFOS-1(config-if)# ip access-group 11 in SEFOS-1(config-if)# exit SEFOS-1(config)# vlan 1 SEFOS-1(config-vlan)# ports xl-ethernet 0/25 xl-ethernet 0/26 untagged xl-ethernet 0/25 xl-ethernet 0/26
% Member Ports cannot be added/deleted on Default VLAN SEFOS-1(config-vlan)# end
SEFOS-1# show access-lists ... IP address Type : IPV4 ... In Port List : X10/25 ... Filter Action : Deny Status : Active
フィルタアクションが deny に設定されているため、ホスト A から送信されたパケットはポート 26 には転送されません。ホスト A から 12.0.0.17 への ping は、12.0.0.17 からの応答なしで失敗します。
SEFOS-1# configure terminal SEFOS-1(config)# interface xl-ethernet 0/25 SEFOS-1(config-if)# no ip access-group 11 in SEFOS-1(config-if)# end SEFOS-1# show access-lists ... Status : InActive
ホスト B は ping に応答します。ホスト A から送信されたパケットはポート 26 に転送されます。次の連続する 2 つの ping コマンドは、ACL リストに設定されている deny フィルタアクションが一方のポートには適用され、もう一方のポートからは削除されていたことを示しています。
# ping 12.0.0.17 no answer from 12.0.0.17 # ping 12.0.0.17 12.0.0.17 is alive