ページの本文へ

送信先IPアドレスによるフィルタリング

構成図

設定のポイント

この構成図の場合、設定例1と設定例2は同じ動作となる

  • 設定例1では、宛先IP-1/宛先IP-2のネットワークアクセスを拒否(deny)する。
    (それ以外の宛先IPアドレスは、全て許可(permit)する)
  • 設定例2では、端末-複数のネットワークアクセスを許可(permit)する。
    (それ以外の端末は、全て拒否(deny)する)
  • マスク指定により、範囲内のMACアドレスを1つのACLで定義できる。
  • 装置(DA/SA)を対象にしたパケットのACL制御はできません。

設定例1

指定した宛先IPアドレスの拒否(deny)、それ以外は許可(permit)
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip 192.168.1.100 port 1 deny
config access_profile profile_id 1 add access_id 2 ip destination_ip 192.168.2.0 mask 255.255.255.0 port 2 deny
宛先IPアドレスの全32ビットを対象にしたアクセスプロファイルの作成
ポート1受信のIPパケットで、DA IP=192.168.1.100に合致したパケットを破棄。優先度1。
ポート2受信のIPパケットで、DA IP=192.168.2.0(255.255.255.0)に合致したパケットを破棄。優先度2。
※それ以外を許可するACLは定義する必要ないが、明示的に定義してもよい。

設定例2

指定した宛先IPアドレスの許可(permit)、それ以外は拒否(deny)
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip destination_ip 192.168.1.0 mask 255.255.255.240 port 1 permit
config access_profile profile_id 2 add access_id 2 ip destination_ip 0.0.0.0 mask 0.0.0.0 port all deny
宛先IPアドレスの全32ビットを対象にしたアクセスプロファイルの作成
ポート1受信のIPパケットで、DA IP=192.168.1.0(255.255.255.240)に合致したパケットを許可。優先度1。
全ポートで、受信したIPパケットを破棄。優先度2。

【確認コマンド】

show access_profile
show packet ports <portlist>
show error ports <portlist>

ページの先頭へ