この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco NX-OS デバイスの VLAN ACL(アクセス リスト)の設定方法を説明します。
この章は、次の項で構成されています。
VLAN ACL(VACL)は、MAC ACL または IP ACL の適用例の 1 つです。VACL を設定し、VLAN との間でルーティングされるかまたは VLAN 内でブリッジングされるすべてのパケットに適用できます。VACL は、セキュリティ パケット フィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトだけを目的としたものです。VACL は方向(入力または出力)で定義されることはありません。
VACL は、アクセス マップを使用して、1 つまたは複数のマップ エントリを順序化したリストを収容します。各マップ エントリは、IP または MAC ACL を処理に関連付けます。各エントリにはシーケンス番号が付き、これに基づいてエントリの優先度を管理できます。
デバイスがパケットに VACL を適用する際、パケットを許可する ACL を含む最初のアクセス マップ エントリで設定されている処理を適用します。
アクセス マップ コンフィギュレーション モードでは、action コマンドを使用して、次のいずれかのアクションを指定します。
デバイスの通常の動作によって決定された宛先にトラフィックを送信します。
1 つまたは複数の指定インターフェイスにトラフィックをリダイレクトします。
トラフィックをドロップします。ドロップを処理として指定する場合、ドロップされたパケットのログをデバイスが記録するよう指定することもできます。
VACL の各ルールのグローバル統計が維持されます。VACL を複数の VLAN に適用した場合、保持されるルール統計情報は、その VACL が適用されている各インターフェイス上で一致(ヒット)したパケットの総数になります。
(注) | インターフェイスレベルの VACL 統計はサポートされていません。 |
設定する VLAN アクセス マップごとに、その VACL の統計情報を維持するかどうかを指定できます。この機能を使用すると、VACL によってフィルタリングされたトラフィックのモニタが必要かどうかに応じて、あるいは VLAN アクセスマップの設定のトラブルシューティングが必要かどうかに応じて、VACL 統計をオンまたはオフにできます。
Session Manager は VACL の設定をサポートしています。この機能によって、ACL の設定を確認し、設定を実行コンフィギュレーションにコミットする前に、その設定が必要とするリソースが利用可能かどうかを確認できます。Session Manager の詳細については、『Cisco Nexus 9000 Series NX-OS System Management Configuration Guide』を参照してください。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
VACL にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能はイメージにバンドルされており、無料で提供されます。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
VACL の前提条件は次のとおりです。
VACL の設定に関する注意事項は次のとおりです。
ACL の設定には Session Manager を使用することを推奨します。この機能によって、ACL の設定を確認し、設定を実行コンフィギュレーションにコミットする前に、その設定が必要とするリソースが利用可能かどうかを確認できます。Session Manager の詳細については、『Cisco Nexus 9000 Series NX-OS System Management Configuration Guide』を参照してください。
適用する ACL エントリが多すぎると、設定が拒否される可能性があります。
SPAN 宛先ポートへの VACL リダイレクトはサポートされません。
VACL のロギングはサポートされません。
TCAM リソースは、VACL を複数の VLAN で適用する場合、共有されません。
パラメータ |
デフォルト |
---|---|
VACL |
デフォルトでは IP ACL は存在しません。 |
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
VACL エントリを新規作成したり、既存の VACL にエントリを追加できます。どちらの場合も、作成した VACL エントリが、1 つまたは複数の ACL を一致トラフィックに適用される処理と関連付ける VLAN アクセス マップ エントリとなります。
VACL に使用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。
1.
configure terminal
2.
vlan access-mapmap-name [sequence-number]
4.
action{drop | forward | redirect}
5.
(任意) [no] statistics per-entry
6.
(任意) show running-config aclmgr
7.
(任意) copy running-config startup-config
VACL を削除できます。これにより、VLAN アクセス マップも削除されます。
また、VACL から単一の VLAN アクセス マップ エントリを削除することもできます。
その VACL が VLAN に適用されているかどうかを確認します。削除できるのは、現在適用されている VACL です。VACL を削除しても、その VACL が適用されていた VLAN の設定は影響を受けません。デバイスは削除された VACL を空であると見なします。
1.
configure terminal
2.
no vlan access-mapmap-name [sequence-number]
3.
(任意) show running-config aclmgr
4.
(任意) copy running-config startup-config
VACL を VLAN に適用できます。
VACL を適用する際には、その VACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。
1.
configure terminal
2.
[no] vlan filtermap-namevlan-listlist
3.
(任意) show running-config aclmgr
4.
(任意) copy running-config startup-config
コマンド |
目的 |
||
---|---|---|---|
show running-config aclmgr [all] |
VACL-related の設定も含めて、ACL の設定を表示します。
|
||
show startup-config aclmgr [all] |
ACL のスタートアップ コンフィギュレーションを表示します。
|
||
show vlan filter |
VLAN に適用されている VACL の情報を表示します。 |
||
show vlan access-map |
VLAN アクセス マップに関する情報を表示します。 |
コマンド |
目的 |
---|---|
show vlan access-list |
VACL の設定を表示します。VLAN アクセス マップに statistics per-entry コマンドが含まれている場合は、show vlan access-list コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
clear vlan access-list counters |
VACL の統計情報をクリアします。 |
次の例では、acl-mac-01 という名前の MAC ACL で許可されたトラフィックを転送する VACL を設定し、その VACL を VLAN 50 ~ 82 に適用します。
conf t vlan access-map acl-mac-map match mac address acl-mac-01 action forward vlan filter acl-mac-map vlan-list 50-82
関連項目 |
マニュアル タイトル |
---|---|
QoS の設定 |
『Cisco Nexus 9000 Series NX-OS Quality of Service Configuration Guide』 |