この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
イーサネット サービス アクセス コントロール リスト(ACL)は、レイヤ 2 ネットワーク トラフィック プロファイルを集合的に定義する 1 つ以上のアクセス コントロール エントリ(ACE)で構成されます。このプロファイルは、Cisco IOS XR ソフトウェア機能によって参照できます。各イーサネット サービス ACL には、送信元および宛先アドレス、サービス クラス(CoS)、または VLAN ID などの基準に基づいたアクション要素(許可または拒否)が含まれます。
このモジュールでは、Cisco ASR 9000 シリーズ アグリゲーション サービス ルータでのイーサネット サービス アクセス リストの実装に必要なタスクについて説明します。
(注) このモジュールに記載されているイーサネット サービス アクセス リスト コマンドの詳細については、マニュアル『Cisco ASR 9000 Series Aggregation Services Router IP Addresses and Services Command Reference』の「Ethernet Services (Layer 2) Access List Commands on Cisco ASR 9000 Series Routers 」を参照してください。この章で使用される他のコマンドの説明については、コマンド リファレンスのマスター索引を参照するか、またはオンラインで検索してください。
Cisco ASR 9000 シリーズ ルータでのイーサネット サービス アクセス リスト実装の機能履歴
|
|
この前提条件は、アクセス リストおよびプレフィクス リストの実装に適用されます。
適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。 このコマンド リファレンスには、各コマンドに必要なタスク ID が含まれます。
イーサネット サービス アクセス リストを実装するには、次の概念を理解している必要があります。
• 「イーサネット サービス アクセス リスト機能のハイライト」
• 「イーサネット サービス アクセス リスト エントリのシーケンス番号」
イーサネット サービス アクセス リストには、次の機能のハイライトがあります。
• 特定のシーケンス番号を使用してアクセス リストのカウンタをクリアする機能。
• 別のアクセス リストに既存のアクセス リストの内容をコピーする機能。
• ユーザがシーケンス番号を permit または deny ステートメントに追加し、そのようなステートメントのシーケンスの再設定、追加、または名前付きアクセス リストからの削除を行うことができるようにします。
• パケットを転送するためにインターフェイスでパケット フィルタリングを実行します。
• イーサネット サービス ACL は、インターフェイス、VLAN サブインターフェイス、バンドル イーサネット インターフェイス、EFP、バンドル イーサネット インターフェイスを介した EFP で適用できます。イーサネット サービス ACL のアトミック置換は、これらの物理インターフェイスでサポートされています。
イーサネット サービス アクセス リストは、ACL ベースの転送(ABF)を使用して、ネットワークを介して移動するパケットおよび場所を制御するパケット フィルタリングを実行します。そのような制御は、着信および発信ネットワーク トラフィックを制限し、ポート レベルでネットワークにユーザおよびデバイスのアクセスを制限するために役立ちます。
イーサネット サービス アクセス リストは、レイヤ 2 設定に適用される、permit および deny ステートメントで構成される順序付きリストです。アクセス リストには、参照に使用される名前があります。
アクセス リストを設定して名前を付けることは可能ですが、アクセス リストを受け取るコマンドによってアクセス リストが参照されるまで、有効にはなりません。複数のコマンドから同じアクセス リストを参照できます。アクセス リストで、ルータに到達するレイヤ 2 トラtィック、またはルータ経由で送信されるレイヤ 2 トラフィックは制御できますが、ルータが送信元のトラフィックは制御できません。
イーサネット サービス アクセス リストの設定時は、次のプロセスとルールを使用します。
• ソフトウェアは、アクセス リストの条件に対してフィルタされる各パケットの送信元アドレスや宛先アドレスをテストします。一度に 1 つの条件(permit または deny ステートメント)がテストされます。
• パケットがアクセス リスト ステートメントに一致しないと、そのパケットはリスト内の次のステートメントに対してテストされます。
• パケットとアクセス リスト ステートメントが一致すると、リスト内の残りのステートメントはスキップされ、パケットは一致したステートメントに指定されたとおりに許可または拒否されます。ソフトウェアがパケットを許可するか拒否するかは、パケットが一致する最初のエントリによって決定されます。つまり、一致すると、以降のエントリは考慮されません。
• アクセス リストがアドレスまたはプロトコルを拒否する場合は、ソフトウェアはパケットを廃棄します。
• いずれの条件とも一致しなかった場合、各アクセス リストは表記されないか暗黙の deny ステートメントで終了するため、ソフトウェアはパケットをドロップします。言い換えると、パケットが各ステートメントに対してテストされたときまでに許可または拒否されないと、このパケットは拒否されます。
• アクセス リストには permit ステートメントを 1 つ以上含める必要があります。そうしないと、パケットはすべて拒否されます。
• 最初に一致が見つかった後はソフトウェアによる条件のテストが終了するため、条件の順序は重要です。同じ permit ステートメントまたは deny ステートメントでも、順序が異なる場合、ある状況では通過し、別の状況では拒否されるパケットが生じる可能性があります。
• インバウンド アクセス リストは、ルータに到達するパケットを処理します。着信パケットの処理後に、アウトバウンド インターフェイスへのルーティングが行われます。インバウンド アクセス リストが効率的なのは、フィルタリング テストで拒否されたことでパケットが廃棄される場合、ルーティング検索のオーバーヘッドが抑えられるためです。テストでパケットが許可される場合、ルーティングのために処理されます。インバウンド リストの場合、許可とは、インバウンド インターフェイスでパケットの受信後に処理が続行されることを示します。 拒否 とは、パケットが廃棄されることを示します。
• アウトバウンド アクセス リストの場合、パケットの処理後にルータから送信されます。着信パケットはアウトバウンド インターフェイスにルーティングされてから、アウトバウンド アクセス リストで処理されます。アウトバウンド リストの場合、許可とは、出力バッファに対して送信されることを示し、拒否とは、パケットが廃棄されることを示します。
• 使用中のアクセス グループによってアクセス リストが適用されている場合、そのアクセス リストは削除できません。アクセス リストを削除するには、アクセス リストを参照しているアクセス グループを削除してから、アクセス リストを削除します。
• アクセス リストは、 ethernet-services access-group コマンドを使用する前に存在している必要があります。
イーサネット サービス アクセス リストの作成時は、次の点に注意してください。
送信元 MAC アドレスと宛先 MAC アドレスの 2 つのフィールドは、アクセス リストの基礎として最も一般的なフィールドです。送信元 MAC アドレスを指定して、特定のネットワーキング デバイスまたはホストからのパケットを制御します。宛先 MAC アドレスを指定して、特定のネットワーキング デバイスまたはホストに送信されるパケットを制御します。
イーサネット サービス アクセス リスト エントリにシーケンス番号を適用する機能によって、アクセス リストの変更が簡単になります。アクセス リスト エントリのシーケンス番号機能を使用すると、アクセス リスト エントリにシーケンス番号を追加して、シーケンス番号を再設定できます。新しいエントリを追加する場合、アクセス リストの目的の位置に挿入されるようにシーケンス番号を選択します。必要に応じて、アクセス リストの現在のエントリ順序を変更して、新しいエントリを挿入できる余地を作成します。
• シーケンス番号のないエントリが適用された場合、最初のエントリにはシーケンス番号 10 が割り当てられます。連続してエントリを追加すると、シーケンス番号は 10 ずつ増分されます。最大シーケンス番号は 2147483646 です。生成したシーケンス番号がこの最大値を超えると、次のメッセージが表示されます。
• シーケンス番号のないエントリを入力すると、アクセス リストの最後のシーケンス番号に 10 を加えたシーケンス番号が割り当てられ、リストの末尾に配置されます。
• ACL エントリは、トラフィック フローおよびハードウェア パフォーマンスに影響を与えることなく追加できます。
• ルート スイッチ プロセッサ(RSP)とインターフェイス カードにあるエントリのシーケンス番号が常に同期されるよう、分散サポートが提供されます。
• 「イーサネット サービス アクセス リストの設定」(任意)
• 「イーサネット サービス アクセス リストの適用」(任意)
• 「アクセス リスト エントリの並べ替え」(任意)
次の制約事項が、イーサネット サービス アクセス リストの実装に適用されます。
• イーサネット アクセス リストは、レイヤ 2 インターフェイスだけでサポートされます。
• イーサネット サービス アクセス リストは、管理インターフェイスではサポートされていません。
2. ethernet-service access-list name
3. [ sequence-number ] {permit | deny} { src-mac-address src-mac-mask | any | host } [{ ethertype-number } | vlan min-vlan-ID [ max-vlan-ID ]] [ cos cos-value ] [ dei ] [ inner-vlan min-vlan-ID [ max-vlan-ID ]] [ inner-cos cos-value ] [ inner-dei ]
4. 必要に応じてステップ 3 を繰り返し、計画したシーケンス番号でステートメントを追加します。エントリを削除するには、 no sequence-number コマンドを使用します。
6. show access-lists ethernet-services [ access-list-name | maximum | standby | summary ]
イーサネット サービス アクセス リストの作成後に、インターフェイスに適用する必要があります。アクセス リストの適用方法の詳細については、 イーサネット サービス アクセス リストの適用の項を参照してください。
アクセス リストを作成したら、動作するようにアクセス リストを参照する必要があります。アクセス リストは、発信または着信インターフェイスのいずれかに適用できます。この項では、端末回線およびネットワーク インターフェイスの両方に対してこのタスクを実行する方法のガイドラインについて説明します。
着信アクセス リストでは、パケットを受信した後で、Cisco IOS XR ソフトウェアは、アクセス リストに対してパケットの送信元 MAC アドレスを検査します。アクセス リストがアドレスを許可する場合は、ソフトウェアはパケットの処理を継続します。アクセス リストがアドレスを拒否する場合は、ソフトウェアはパケットを廃棄します。
発信アクセス リストでは、パケットを受信して制御インターフェイスにルーティングした後で、ソフトウェアは、アクセス リストに対してパケットの送信元 MAC アドレスを検査します。アクセス リストがアドレスを許可した場合、ソフトウェアはパケットを送信します。アクセス リストがアドレスを拒否する場合は、ソフトウェアはパケットを廃棄します。
(注) 空のアクセス リスト(アクセス コントロール エレメントが含まれていない)は、インターフェイスに適用できません。
ここでは、インターフェイスへのアクセスを制限するためにアクセス リストをそのインターフェイスに適用します。アクセス リストは、発信または着信インターフェイスのいずれかに適用できます。
3. ethernet-service access-group access-list-name { ingress | egress }
1. copy access-list ethernet-service source-acl destination-acl
2. show access-lists ethernet-services [ access-list-name | maximum | standby | summary ]
ここでは、名前付きアクセス リストのエントリにシーケンス番号を再割り当てする例を示します。アクセス リストの並べ替えは任意です。
1. resequence access-list ethernet-service access-list-name [ starting-sequence-number [ increment ]]
3. show access-lists ethernet-services [ access-list-name | maximum | standby | summary ]
次に、アクセス リストの並べ替え例を示します。並べ替えられたアクセス リストの先頭の値は 1、増分値は 2 です。後続のエントリはユーザ指定の増分値に基づいて並べられています。範囲は 1 ~ 2147483646 です。
シーケンス番号のないエントリが入力されると、デフォルトで、アクセス リストの最後のエントリのシーケンス番号に 10 を加えたシーケンス番号が割り当てられます。
この例では、新しいエントリをイーサネット サービス アクセス リスト acl_5 に追加します。
ここでは、Cisco ASR 9000 シリーズ ルータでのイーサネット サービス アクセス リストの実装に関する参考資料を紹介します。
|
|
---|---|
|
|
---|---|
Cisco IOS XR ソフトウェアを使用している MIB を特定してダウンロードするには、次の URL にある Cisco MIB Locator を使用し、[Cisco Access Products] メニューからプラットフォームを選択します。 http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
|
|
---|---|
この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。 |
|
|
---|---|
シスコのテクニカル サポート Web サイトには、数千ページに及ぶ検索可能な技術情報があります。製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクもあります。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。 |