📝
Alied TelesisのL3スイッチでVLANパケットフィルタを設定する
目的
Alied TelesisのL3 Switchであるx510-28GTXを購入し、自宅で運用しているが、VLANとパケットフィルターの設定が必要だったので、その手順をまとめる。
前提条件
- VLANが設定されていること
- VLAN InterfaceにIPアドレスが設定されていること
- L3スイッチとして稼働するように設定されていること
手順
- Hardware access list (list)を作成
- Hardware access list (seq entry)を作成
- VLAN access mapの作成
- VLANにaccess mapを適応
- 動作確認
1. access-list hardware(list)の作成
ハードウェアアクセスリストはエントリーを1つしか持つことができない。そのため、暗黙のdenyは存在しない。
よって、access-list hardware(list)を作成し、その中に複数のエントリーを追加する。
公式マニュアルにはシーケンス番号を利用した設定とある。
公式マニュアルの該当ページ
awplus(config)# access-list hardware listname
2. access-list hardware(seq entry)の作成
# 192.168.100.0/24に所属するホストから192.16.0.0/24へのIPパケットを破棄
awplus(config-ip-hw-acl)# deny ip 192.168.100.0/24 192.16.0.0/24
詳細なコマンドについては公式リファレンスを参照してください。
3. VLAN access mapの作成
VLANアクセスマップを使用して、フィルタリングに使用するハードウェアアクセスリストを指定する。
# deny-ruleという名前のアクセスマップを作成し、アクセスリストlistnameを適応
awplus(config)# vlan access-map deny-rule
awplus(config-vlan-access-map)# match access-group listname
4. VLANにaccess mapを適応
#vlan48にVLANアクセスマップdeny-ruleを適応する
awplus(config)# vlan filter deny-rule vlan-list 48 input
5. 動作確認
#VLANアクセスマップの情報を表示
awplus# show vlan access-map
#VLANインターフェースに適応したVLANアクセスマップdeny-ruleの情報を表示する
awplus# show vlan filter deny-rule
適宜、pingコマンドを使用してパケットフィルターが正常に動作しているか確認する。
参考文献
Discussion