FutureNet製品活用ガイド

FutureNet製品活用ガイド

メモ：フローリスト設定(仮想スイッチ対応機種)

仮想スイッチ未対応機種と同等にする予定。

【構成図】

フローリストの設定条件は以下とします。
– eth0側の端末1からWWWサーバへの通信(ARP,TCPポート番号80)を許可します。
– eth0側の端末2からSSHサーバへの通信(ARP,TCPポート番号22)を許可します。
– eth1側からルータ宛およびeth0側への通信を許可します。
– 上記以外の通信は破棄します。
各フローエントリで使用するポートはshow interface bridge Xで確認することができます。(Xはインタフェース番号)
この設定例では下記のように対応しているものとします。

ポート番号インタフェース名

ポート1 eth0

ポート2 eth1

【設定データ】

〔NXRの設定〕

設定項目		設定内容
ブリッジインタフェース	bridge0のIPアドレス	192.168.10.1/24
ブリッジインタフェース	フローリスト名	flow
ethernet0インタフェース	ethernet0のIPアドレス	無効
ethernet0インタフェース	ブリッジグループ番号	0(port1)
ethernet1インタフェース	ethernet1のIPアドレス	無効
ethernet1インタフェース	ブリッジグループ番号	0(port2)
フローリスト	フローリスト名	flow
フローリスト	ファイル	flowlist.txt

〔フローエントリの設定〕

フローエントリの入力,出力ポート番号は

設定項目			設定内容
No.1	マッチ条件	入力ポート	1
		イーサネットタイプ	0x0806(ARP)
		送信元MACアドレス	00:80:6D:XX:XX:00
		送信元IPアドレス	192.168.10.100
		ターゲットIPアドレス	192.168.10.10
	アクション	出力ポート	2
No.2	マッチ条件	入力ポート	1
		イーサネットタイプ	0x0800(IP)
		プロトコル番号	6(TCP)
		送信元IPアドレス	192.168.10.100
		宛先IPアドレス	192.168.10.10
		宛先ポート	80
	アクション	出力ポート	2
No.3	マッチ条件	入力ポート	1
		イーサネットタイプ	0x0806(ARP)
		送信元MACアドレス	00:80:6D:XX:XX:02
		送信元IPアドレス	192.168.10.102
		ターゲットIPアドレス	192.168.10.11
	アクション	出力ポート	2
No.4	マッチ条件	入力ポート	1
		イーサネットタイプ	0x0800(IP)
		プロトコル番号	6(TCP)
		送信元IPアドレス	192.168.10.102
		宛先IPアドレス	192.168.10.11
		宛先ポート	22
	アクション	出力ポート	2
No.5	マッチ条件	入力ポート	2
No.5	アクション	出力ポート	1,local
No.6	マッチ条件	入力ポート	local
No.6	アクション	出力ポート	2
No.7	アクション		DROP

【設定例】

〔NXRの設定〕

nxrg240#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
nxrg240(config)#bridge flow-list flow file disk0:flowlist.txt
nxrg240(config)#interface bridge 0
nxrg240(config-bridge)#ip address 192.168.10.1/24
nxrg240(config-bridge)#bridge set-flow flow
nxrg240(config-bridge)#exit
nxrg240(config)#interface ethernet 0
nxrg240(config-if)#no ip address
nxrg240(config-if)#bridge-group 0 port 1
nxrg240(config-if)#exit
nxrg240(config)#interface ethernet 1
nxrg240(config-if)#no ip address
nxrg240(config-if)#bridge-group 0 port 2
nxrg240(config-if)#exit
nxrg240(config)#exit
nxrg240#save config

〔フローエントリの設定〕

in_port=1,dl_type=0x0806,dl_src=00:80:6D:XX:XX:00,nw_src=192.168.10.100,nw_dst=192.168.10.10,actions=output:2
in_port=1,dl_type=0x0800,nw_proto=6,nw_src=192.168.10.100,nw_dst=192.168.10.10,tp_dst=80,actions=output:2
in_port=1,dl_type=0x0806,dl_src=00:80:6D:XX:XX:02,nw_src=192.168.10.102,nw_dst=192.168.10.11,actions=output:2
in_port=1,dl_type=0x0800,nw_proto=6,nw_src=192.168.10.102,nw_dst=192.168.10.11,tp_dst=22,actions=output:2
in_port=2,actions=output:1,local
in_port=local,actions=output:2
actions=DROP

【設定例解説】

〔NXRの設定〕

1. <フローリスト設定>

nxrg240(config)#bridge flow-list flow file disk0:flowlist.txt

フローリスト名をflowとし、フローエントリをまとめたフローリストのファイルを指定したダウンロード先からインポートします。ここでは外部メモリからファイルをインポートします。

2. <bridge0インタフェース設定>

nxrg240(config)#interface bridge 0
nxrg240(config-bridge)#ip address 192.168.10.1/24

bridge0インタフェースのIPアドレスを設定します。

nxrg240(config-bridge)#bridge set-flow flow

適用するフローリスト名を設定します。

3. <ethernet0インタフェース設定>

nxrg240(config)#interface ethernet 0
nxrg240(config-if)#no ip address
nxrg240(config-if)#bridge-group 0 port 1

ethernet0インタフェースのIPアドレスを無効にします。

nxrg240(config-if)#bridge-group 0 port 1

ブリッジグループを設定します。
(☞) ブリッジグループの番号はbridgeインタフェースの番号と同一のものを設定します。またポートはブリッジグループ内でユニークなものを設定する必要があります。

4. <ethernet1インタフェース設定>

nxrg240(config)#interface ethernet 1
nxrg240(config-if)#no ip address

ethernet1インタフェースのIPアドレスを無効にします。

nxrg240(config-if)#bridge-group 0 port 2

ブリッジグループを設定します。

〔フローエントリの設定〕

※フローエントリを適用するには、フローエントリを記載したファイルをインポートする必要があります。

in_port=1,dl_type=0x0806,dl_src=00:80:6D:XX:XX:00,nw_src=192.168.10.100,nw_dst=192.168.10.10,actions=output:2

入力ポート1で受信した送信元MACアドレスが00:80:6D:XX:XX:00,送信元IPアドレスが192.168.10.100,ターゲットIPアドレスが192.168.10.10のARPパケットは、ポート2から出力します。

in_port=1,dl_type=0x0800,nw_proto=6,nw_src=192.168.10.100,nw_dst=192.168.10.10,tp_dst=80,actions=output:2

入力ポート1で受信した送信元IPアドレスが192.168.10.100,宛先IPアドレスが192.168.10.10,宛先TCPポート番号が80のIPv4パケットは、ポート2から出力します。

in_port=1,dl_type=0x0806,dl_src=00:80:6D:XX:XX:02,nw_src=192.168.10.102,nw_dst=192.168.10.11,actions=output:2

入力ポート1で受信した送信元MACアドレスが00:80:6D:XX:XX:02,送信元IPアドレスが192.168.10.102,ターゲットIPアドレスが192.168.10.11のARPパケットは、ポート2から出力します。

in_port=1,dl_type=0x0800,nw_proto=6,nw_src=192.168.10.102,nw_dst=192.168.10.11,tp_dst=22,actions=output:2

入力ポート1で受信した送信元IPアドレスが192.168.10.102,宛先IPアドレスが192.168.10.11,宛先TCPポート番号が22のIPv4パケットは、ポート2から出力します。

in_port=2,actions=output:1,local

入力ポート2で受信したパケットは、ポート1およびローカル(ルータ自身)へ出力します。
(☞) 設定したブリッジインタフェースを送信元,宛先にする場合は、ローカルを指定します。

in_port=local,actions=output:2

入力ポートローカルで受信したパケットは、ポート2から出力します。

actions=DROP

該当しないパケットは全て破棄します。

←前のページ

更新情報

→ 一覧へ

【構成図】

【設定データ】

〔NXRの設定〕

〔フローエントリの設定〕

【設定例】

〔NXRの設定〕

〔フローエントリの設定〕

【設定例解説】

〔NXRの設定〕

1. <フローリスト設定>

2. <bridge0インタフェース設定>

3. <ethernet0インタフェース設定>

4. <ethernet1インタフェース設定>

〔フローエントリの設定〕

更新情報

カテゴリ

タグ

ポート番号	インタフェース名
ポート1	eth0
ポート2	eth1

【 構成図 】

【 設定データ 】

〔NXRの設定〕

〔フローエントリの設定〕

【 設定例 】

〔NXRの設定〕

〔フローエントリの設定〕

【 設定例解説 】

〔NXRの設定〕

1. <フローリスト設定>

2. <bridge0インタフェース設定>

3. <ethernet0インタフェース設定>

4. <ethernet1インタフェース設定>

〔フローエントリの設定〕

更新情報

カテゴリ

タグ

【構成図】

【設定データ】

【設定例】

【設定例解説】