9.1 フィルター定義の設定

[書式]

• ethernet filter num kind src_mac [dst_mac [offset byte_list]]
• ethernet filter num kind type [scope] [offset byte_list]
• no ethernet filter num [kind ...]

[設定値及び初期値]

• num
  • [設定値] :

    設定値	説明
    1..512 (RTX1210 Rev.14.01.16 以降、および、Rev.15.02 系以降)	静的フィルターの番号
    1..100 ( 上記以外 )

  • [初期値] : -
• kind

  • [設定値] :

    設定値	説明
    pass-log	一致すれば通す ( ログに記録する )
    pass-nolog	一致すれば通す ( ログに記録しない )
    reject-log	一致すれば破棄する ( ログに記録する )
    reject-nolog	一致すれば破棄する ( ログに記録しない )

  • [初期値] : -
• src_mac
  • [設定値] :
    • 始点 MAC アドレス
    • xx:xx:xx:xx:xx:xx(xx は 16 進数、または *)
    • *( すべての MAC アドレスに対応 )
  • [初期値] : -
• dst_mac
  • [設定値] :
    • 終点 MAC アドレス
    • 始点 MAC アドレス src_mac と同じ形式
    • 省略時は一個の * と同じ
  • [初期値] : -
• type

  • [設定値] :

    設定値	説明
    dhcp-bind	指定された DHCP スコープで予約設定されているホストを対象にする
    dhcp-not-bind	指定された DHCP スコープで予約設定されていないホストを対象にする

  • [初期値] : -
• scope
  • [設定値] :
    • DHCP スコープ
    • 1..65535 の整数
    • DHCP スコープのリース範囲に含まれる IP アドレス
  • [初期値] : -
• offset
  • [設定値] : オフセットを表す 10 進数 ( イーサネットフレームの始点 MAC アドレスの直後を 0 とする )
  • [初期値] : -
• byte_list
  • [設定値] :
    • バイト列
    • xx(2 桁の 16 進数 ) あるいは *( 任意のバイト ) をカンマで区切った並び (16 個以内 )
  • [初期値] : -

[説明]

イーサネットフレームのフィルターを設定する。本コマンドで設定されたフィルターは、ethernet lan filter コマンドで用いられる。

通常型のフィルターでは、始点 MAC アドレス、終点 MAC アドレスなどで送受信するイーサネットフレームにフィルターを適用する。

dhcp-bind 型のフィルターでは、以下のイーサネットフレームにフィルターを適用する。対象とならないイーサネットフレームはフィルターに合致しないものとして扱う。

イーサネットフレームの始点 MAC アドレスと始点 IP アドレスの組が、対象となる DHCP スコープで予約されているならフィルターに合致するとみなす。

イーサネットフレームの始点 MAC アドレスが、対象となる DHCP スコープで予約されているならフィルターに合致するとみなす。

dhcp-not-bind 型のフィルターでは、以下のイーサネットフレームにフィルターを適用する。対象とならないイーサネットフレームはフィルターに合致しないものとして扱う。

・イーサネットタイプが IPv4(0x0800) である場合

イーサネットフレームの始点 IP アドレスが、対象となる DHCP スコープのリース範囲に含まれていて、かつ、dhcp-not-bind 型のフィルターでは始点 MAC アドレスが DHCP スコープで予約されていないときにフィルターに合致するとみなす。

dhcp-bind、dhcp-not-bind 型のフィルターで対象とする DHCP スコープは、scope パラメーターで指定する。

scope パラメーターとしては DHCP スコープ番号を指定することもできるし、DHCP スコープが定義されているサブネットに含まれる IP アドレスで指定することもできる。IP アドレスで DHCP スコープを指定する場合に、複数の DHCP スコープが該当する時には、その中で最も長いネットマスク長を持つ DHCP スコープを選択する。

scope パラメーターを省略した場合には、フィルターが適用されるインターフェースで使用される DHCP スコープがすべて対象となる。

dhcp-bind、dhcp-not-bind 型のフィルターが DHCP リレーエージェントとして動作しているルーターに設定された場合、DHCP サーバーから DHCP スコープとその DHCP スコープにおけるクライアントの予約情報を取得し、フィルターの適用時に参照する。DHCP サーバーからの DHCP スコープおよび予約情報の取得は、DHCP メッセージをリレーする際、DHCP メッセージのオプション部に予約情報を書き込んで通知することにより行われる。

[ノート]

LAN 分割機能を使用する場合には、ルーター内部でイーサネットタイプとして 0x8100～0x810f の値を使用しているので、それらのイーサネットフレームをフィルターして送受信できないようにすると、LAN 分割機能を使用しているポートで通信できなくなるので注意が必要である。

dhcp-bind、dhcp-not-bind 型のフィルターでは、イーサネットフレームの始点 MAC アドレスや始点 IP アドレスを用いてフィルターの判定をするため、ethernet lan filter コマンドでは通常 in 方向にのみ使用することになる。
out 方向の場合、始点 MAC アドレスはルーター自身の MAC アドレスになるため、DHCP の予約情報もしくはリースしたアドレスと一致することはない。

dhcp-bind 型フィルターは、予約もしくはアドレスがリースされているクライアントだけを通過させる、という形になるため、通常は pass 等と組み合わせて使用する。一方、dhcp-not-bind 型フィルターは、予約もしくはアドレスがリースされていないクライアントを破棄する、という形になるため、通常は reject 等と組み合わせて使用することになる。

[適用モデル]