アクセス制御リスト(ACL)ー送信先IPアドレスによるフィルタリング｜設定例｜製品情報｜APRESIA | APRESIA Systems株式会社

設定例(ApresiaLightGM/FMシリーズ)

アクセス制御リスト(ACL)ー送信先IPアドレスによるフィルタリング

構成図

構成図

設定のポイント

この構成図の場合、設定例1と設定例2は同じ動作となる

設定例1では、宛先IP-1/宛先IP-2のネットワークアクセスを拒否(deny)する。
(それ以外の宛先IPアドレスは、全て許可(permit)する)
設定例2では、端末-複数のネットワークアクセスを許可(permit)する。
(それ以外の端末は、全て拒否(deny)する)
マスク指定により、範囲内のMACアドレスを１つのACLで定義できる。
装置(DA/SA)を対象にしたパケットのACL制御はできません。

設定例1

指定した宛先IPアドレスの拒否(deny)、それ以外は許可(permit)

①	create access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
②	config access_profile profile_id 1 add access_id 1 ip destination_ip 192.168.1.100 port 1 deny
③	config access_profile profile_id 1 add access_id 2 ip destination_ip 192.168.2.0 mask 255.255.255.0 port 2 deny

①	宛先IPアドレスの全32ビットを対象にしたアクセスプロファイルの作成
②	ポート1受信のIPパケットで、DA IP=192.168.1.100に合致したパケットを破棄。優先度1。
③	ポート2受信のIPパケットで、DA IP=192.168.2.0(255.255.255.0)に合致したパケットを破棄。優先度2。
※それ以外を許可するACLは定義する必要ないが、明示的に定義してもよい。

設定2

指定した宛先IPアドレスの許可(permit)、それ以外は拒否(deny)

①	create access_profile ip destination_ip_mask 255.255.255.255 profile_id 2
②	config access_profile profile_id 2 add access_id 1 ip destination_ip 192.168.1.0 mask 255.255.255.240 port 1 permit
③	config access_profile profile_id 2 add access_id 2 ip destination_ip 0.0.0.0 mask 0.0.0.0 port all deny

①	宛先IPアドレスの全32ビットを対象にしたアクセスプロファイルの作成
②	ポート1受信のIPパケットで、DA IP=192.168.1.0(255.255.255.240)に合致したパケットを許可。優先度1。
③	全ポートで、受信したIPパケットを破棄。優先度2。

確認コマンド

show access_profile
show packet ports <portlist>
show error ports <portlist>

設定例TOPへ戻る

関連情報