この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、アクセスコントロールリストのシステムサポートについて説明し、それらの設定方法を示します。製品アドミニストレーション ガイドには、システム上での基本サービスの設定例と手順が示されています。次に説明する手順を使用する前に、サービスモデルに最適な設定例を選択する必要があります。
 重要 |
ACL を設定するためのライセンスは必要ありません。ただし、設定されている ACL の数は、パフォーマンスに大きく影響する可能性があります。 |
重要 |
すべてのコマンドとキーワード/変数を使用できるわけではありません。可用性はプラットフォームのタイプによって異なります。 |
この章は、次の項で構成されています。
個別のインターフェイス
コンテキストによって促進されるすべてのトラフィック(ポリシー ACL と呼ばれる)
個々のサブスクライバ
特定のコンテキストによって促進されるすべてのサブスクライバセッション
IPv4 と IPv6 のアクセスルートに個別の ACL を作成できます。
重要 |
完全なコマンドシンタックスについては、『Command Line Interface Reference』の「ACL Configuration Mode Commands」および「IPv6 ACL Configuration Mode Commands」の章を参照してください。 |
単一の ACL は、1 つ以上の ACL ルールで構成されます。各ルールは、パケットが特定の基準に一致した場合に、特定のアクションを実行するように設定されたフィルタです。ACL ごとに最大 256 のルールを設定できます。
重要 |
ルールなしで構成されている設定済み ACL は、「deny any」ルールを示します。deny アクションおよび any 基準については、このセクションの後半で説明します。これは、空の ACL のデフォルトの動作です。 |
各ルールは、指定された基準にパケットが一致した場合に、実行するアクションを指定します。この項では、システムでサポートされているルールアクションと基準について説明します。
許可:パケットは受け入れられ、処理されます。
拒否:パケットは拒否されます。
リダイレクト:パケットは特定のシステムインターフェイスまたは処理のために指定されたコンテキストを介して、指定されたネクストホップアドレスに転送されます。
重要 |
リダイレクトルールは、特定のサブスクライバ、特定のコンテキストによって促進されるすべてのサブスクライバ、または UMTS サブスクライバ用の APN に適用される ACL の場合は無視されます。 |
各 ACL は、パケットの比較基準を指定する 1 つまたは複数のルールで構成されます。
Any:すべてのパケットをフィルタ処理します。
Host:送信元ホストの IP アドレスに基づいてパケットをフィルタ処理します。
ICMP:Internet Control Message Protocol(ICMP)のパケットをフィルタ処理します。
IP:Internet Protocol(IP)パケットをフィルタ処理します。
Source IP Address:1 つ以上の送信元 IP アドレスに基づいてパケットをフィルタ処理します。
TCP:Transport Control Protocol(TCP)パケットをフィルタ処理します。
UDP:User Datagram Protocol (UDP)パケットをフィルタ処理します。
上記の基準それぞれについては、以降の項で詳しく説明します。
重要 |
次の項では、基本的な ACL ルールのシンタックスについて説明します。コマンドシンタックスの詳細については、『Command Line Interface Reference』の「ACL Configuration Mode Commands」の章と「IPv6 ACL Configuration Mode Commands」の章を参照してください。 |
Any:すべてのパケットにルールが適用されます。
Host:IP アドレスによって決定される特定のホストにルールが適用されます。
ICMP:特定の Internet Control Message Protocol(ICMP)パケット、タイプ、またはコードにルールが適用されます。ICMP のタイプとコードの定義については、www.iana.org (RFC 3232)を参照してください。
IP:特定の Internet Protocol(IP)パケットまたはフラグメントにルールが適用されます。
IP Packet Size Identification Algorithm:転送時にフラグメンテーションの特定の Internet Protocol(IP)パケット ID にルールが適用されます。
この設定は、サブスクライバパケットがカプセル化されている場合(モバイル IP やその他のトンネリングカプセル化など)に、システムで使用される「IP ID フィールド」割り当てアルゴリズムに関連しています。システム内では、サブスクライバパケットのカプセル化は分散型の方法で行われ、16 ビットの IP ID 空間が分割されてカプセル化を行う各エンティティに分散されるため、カプセル化時に一意の IP ID 値を IP ヘッダーに割り当てることができます。
この分散型の IP ID 空間は小規模であるため、ゼロ以外の一位の ID は、転送時にフラグメント化される可能性があるパケットのみに割り当てられます。これは、IP ID フィールドは、フラグメント化されたパケットのリアセンブルにのみ使用されるためです。IP パケットの合計サイズは、そのパケットがフラグメント化される可能性を判断するために使用されます。
Source IP Address:特定の送信元アドレスまたは送信元アドレスのグループから発信される特定のパケットにルールが適用されます。
TCP:任意の Transport Control Protocol(TCP)トラフィックにルールが適用され、送信元/接続先の IP アドレス、特定のポート番号、またはポート番号のグループの任意の組み合わせでフィルタ処理されます。TCP ポート番号の定義については、www.iana.org を参照してください。
UDP:任意の User Datagram Protocol(UDP)トラフィックにルールが適用され、送信元/接続先の IP アドレス、特定のポート番号、またはポート番号のグループの任意の組み合わせでフィルタ処理されます。UDP ポート番号の定義については、www.iana.orgを参照してください。
複数のルールで 1 つの ACL を構成できます。各パケットは、一致が見つかるまで、各 ACL ルールを入力した順序で比較されます。一致が特定されると、後続のすべてのルールは無視されます。
Before
After
[ before | after ] { existing_rule } ここでは、ACL の設定方法について説明します。
重要 |
この項では、システムでアクセスコントロールリストを設定するための最小の命令セットについて説明します。追加のパラメータとオプションを設定するコマンドの詳細については、『Command Line Interface Reference』の「ACL Configuration Mode Commands」の章と「IPv6 ACL Configuration Mode Commands」の章を参照してください。 |
サブスクライバにアクセスコントロールリストの機能を提供するようにシステムを設定するには、次の手順を実行します。
|
ステップ 1 |
の設定例に従って、アクセスコントロールリストを作成します。ACL の作成 |
|
ステップ 2 |
の設定例に従って、ACL リスト内のアクションのルールと基準を指定します。 サブスクライバトラフィックのアクションと基準の設定 |
|
ステップ 3 |
オプションです。システムには、コンテキストへのすべてのパケットのデフォルトフィルタとして機能する「未定義」 ACL が用意されています。デフォルトのアクションは「permit all」です。の設定例に従って、「未定義」ACL のデフォルト設定を変更します。 未定義の ACL の設定 |
|
ステップ 4 |
の手順に従って、ACL の設定を確認します。ACL 設定の確認 |
|
ステップ 5 |
Exec モードの save configuration コマンドを使用して、設定をフラッシュメモリ、外部メモリデバイス、またはネットワークの場所に保存します。詳細については、「設定の確認と保存」の章を参照してください。 |
ACL を作成するには、システム CLI の Exec モードから次のコマンドシーケンスを入力します。
configure
context acl_ctxt_name [ -noconfirm ]
{ ip | ipv6 } access-list acl_list_name
end コンテキストごとに設定できる ACL の最大数は、VPN Manager ソフトウェアタスクで使用可能なメモリ量によって制限されます。通常は、最大 200 未満です。
サブスクライバトラフィックを拒否/許可するルールを作成し、アクションの前後にルールを適用するには、システム CLI の Exec モードから次のコマンドシーケンスを入力します。
configure
context acl_ctxt_name [ -noconfirm ]
{ ip | ipv6 } access-list acl_list_name
deny { ip_address | any | host | icmp | ip | log | tcp | udp }
permit { ip_address | any | host | icmp | ip | log | tcp | udp }
after { deny | permit | readdress | redirect }
before { deny | permit | readdress | redirect }
end 注:
 注意 |
ACL で指定されていない限り、システムは「deny any」ルールを適用しません。この動作は、ACL の最後に「deny any」ルールを追加することによって変更できます。 |
前述のように、システムでは、適用されている ACL が存在しない場合に、パケットのフィルタリングに「未定義」の ACL メカニズムが使用されます。このシナリオは、設定プロセス中に ACL 名が誤って入力されたなどの誤設定が原因である可能性があります。
このような状況に備えて、システムには、コンテキストへのすべてのパケットのデフォルトフィルタとして機能する「未定義」の ACL が用意されています。デフォルトのアクションは「permit all」です。
確認できない ACL のデフォルトの動作を変更するには、次の設定を使用します。
configure
context acl_ctxt_name [-noconfirm]
access-list undefined { deny-all | permit-all }
end コンテキスト名は、変更する「未定義」の ACL を含むコンテキストの名前です。詳細については、『Command Line Interface Reference』の「Context Configuration Mode Commands 」の章を参照してください。
ACL の設定を確認するには、Exec モードの show { ip | ipv6 } access-list コマンドを入力します。
次に、このコマンドの出力例を示します。この例では、acl_1 という名前の ACL が設定されています。
ip access list acl_1
deny host 10.2.3.4
deny ip any host 10.2.3.4
permit any 10.2.4.4
1 ip access-lists are configured. ACL を設定した後、有効にするには、ACL を適用する必要があります。
重要 |
これらの手順を開始する前に、システム上での ACL の設定の手順に従って、すべての ACL を設定し、検証する必要があります。また、次に示す手順では、サブスクライバが事前に設定されていることも前提としています。 |
前述のように、次のいずれかに ACL を適用できます。
重要 |
ACL は、適用先のサブスクライバやインターフェイス内の同じコンテキストで設定する必要があります。同様に、コンテキストに適用される ACL は、そのコンテキストで設定する必要があります。 |
|
モバイルノードからパケットデータネットワークに着信するパケット(左から右) |
|
|
順序 |
説明 |
|
1 |
送信元コンテキストの受信インターフェイス用に設定されたインバウンド ACL は、トンネリングされたデータ(外部 IP ヘッダーなど)に適用されます。その後、パケットは接続先コンテキストに転送されます。 |
|
2 |
サブスクライバに対して設定されたインバウンド ACL(特定のサブスクライバまたはコンテキストによって促進された任意のサブスクライバのいずれか)が適用されます。 |
|
3 |
接続先コンテキストで設定されたコンテキスト ACL(ポリシー ACL)は、転送前に適用されます。 |
|
4 |
パケットが転送される接続先コンテキストのインターフェイスに設定されたアウトバウンド ACL が適用されます。 |
|
パケットデータネットワークからモバイルノードに着信するパケット(右から左) |
|
|
順序 |
説明 |
|
1 |
接続先コンテキストで設定された受信インターフェイス用に、設定されたインバウンド ACL が適用されます。 |
|
2 |
サブスクライバに対して設定されたアウトバウンド ACL(特定のサブスクライバまたはコンテキストによって促進された任意のサブスクライバのいずれか)が適用されます。その後、パケットは送信元コンテキストに転送されます。 |
|
3 |
送信元コンテキストで設定されたコンテキスト ACL(ポリシー ACL)は、転送前に適用されます。 |
|
4 |
パケットが転送される送信元コンテキストのインターフェイスに設定されたアウトバウンド ACL が、トンネリングされたデータ(外部 IP ヘッダーなど)に適用されます。 |
設定されていない IP ACL が適用されている場合(たとえば、適用された ACL の名前が誤って設定されている場合)、システムはパケットのフィルタリングに「未定義」の ACL メカニズムを使用します。
この項では、ACL の適用および「未定義」の ACL の設定に関する情報と手順を示します。
ACL をインターフェイスに適用するには、次の設定を使用します。
configure
context acl_ctxt_name [ -noconfirm ]
interface interface_name
{ ip | ipv6 } access-group acl_list_name { in | out } [ preference ]
end コンテキスト名は、ACL を適用するインターフェイスを含む ACL コンテキストの名前です。
適用する ACL は、このコマンドで指定されたコンテキストで設定する必要があります。
ACL 内に設定されているルールの数が、そのインターフェイスの 128 ルールの制限を超えていない場合、最大 16 の ACL をグループに適用できます。
この項では、システムに設定されている個々のインターフェイスに 1 つまたは複数の ACL を適用するための情報と手順について説明します。
重要 |
この項では、システム上のインターフェイスに ACL リストを適用するための最小の命令セットについて説明します。追加のパラメータとオプションを設定するコマンドの詳細については、『Command Line Interface Reference』の「Ethernet Interface Configuration Mode Commands」の章を参照してください。 |
サブスクライバに ACL ファシリティを提供するようにシステムを設定するには、次のようにします。
|
ステップ 1 |
設定例に従って、設定されたアクセスコントロールリストを適用します。 インターフェイスへの ACL の適用 |
|
ステップ 2 |
ステップに従って、ACL がインターフェイスに適切に適用されていることを確認します。 インターフェイス上の ACL 設定の確認 |
|
ステップ 3 |
Exec モードの save configuration コマンドを使用して、設定をフラッシュメモリ、外部メモリデバイス、またはネットワークの場所に保存します。詳細については、「設定の確認と保存」の章を参照してください。 |
この項では、ACL 設定を確認する方法について説明します。
|
Exec モードで、次のコマンドを入力します。 context_name は、ACL が適用されたインターフェイスを含むコンテキストの名前です。 このコマンドの出力には、コンテキスト全体の設定が表示されます。インターフェイス設定に関するコマンドの出力を確認します。このコマンドは、この手順を使用して適用された ACL を表示します。 |
ACL をコンテキストに適用するには、次の設定を使用します。
configure
context acl_ctxt_name [ -noconfirm ]
{ ip | ipv6 } access-group acl_list_name [ in | out ] [ preference ]
end 注:
コンテキスト名は、ACL を適用するインターフェイスを含む ACL コンテキストの名前です。
コンテキストレベルの ACL は、発信パケットに適用されます。これは、フロー一致基準が失敗して再度転送された場合にも、着信パケットに適用されます。
in キーワードと out キーワードは廃止されており、後方互換性のためにのみ存在します。
コンテキスト ACL は、次の場合に適用されます。
外部ソースへの発信パケット。
失敗したフローが一致し、再度転送される着信パケット。この場合、コンテキスト ACL が最初に適用され、通過した場合のみパケットが転送されます。
転送中に、ACL ルールが宛先アドレスとしてループバックアドレスとして追加されると、コンテキスト ACL も適用されます。これは、StarOS がカーネル宛てのパケットをフォワーディング ルックアップで処理するためです。ACL ルールを着信パケットに適用するには、コンテキスト ACL の代わりにインターフェイス ACL を使用する必要があります。
適用する ACL は、このコマンドで指定されたコンテキストで設定する必要があります。
ACL 内で設定されているルールの数が、そのインターフェイスの 256 ルールの制限を超えていない場合、最大 16 の ACL をグループに適用できます。
この項では、システム上の特定のコンテキスト内で設定されたコンテキストに 1 つ以上の ACLを適用する手順について説明します。適用される ACL(ポリシー ACLと呼ばれる)には、コンテキストによって容易になるすべてのトラフィックに適用されるルールが含まれています。
重要 |
この項では、コンテキスト内のすべてのトラフィックに ACL リストを適用するための最小の命令セットについて説明します。追加のパラメータとオプションを設定するコマンドの詳細については、『Command Line Interface Reference』の「Context Configuration Mode Commands」の章を参照してください。 |
サブスクライバにアクセスコントロールリストの機能を提供するようにシステムを設定するには、次の手順を実行します。
|
ステップ 1 |
の説明に従って、設定された ACL を適用します。コンテキストへの ACL の適用 |
|
ステップ 2 |
の説明に従って、ACL がインターフェイスに適切に適用されていることを確認します。コンテキストでの ACL 設定の確認 |
|
ステップ 3 |
Exec モードの save configuration コマンドを使用して、設定をフラッシュメモリ、外部メモリデバイス、またはネットワークの場所に保存します。詳細については、「設定の確認と保存」の章を参照してください。 |
ACL の設定を確認するには:
|
Exec モードで次のコマンドを入力して、ACL リストが適切に適用されていることを確認します。 context_name は、ACL が適用されたコンテキストの名前です。 このコマンドの出力には、コンテキスト全体の設定が表示されます。インターフェイス設定に関するコマンドの出力を確認します。このコマンドは、この手順を使用して適用された ACL を表示します。 |
IP ACL は、プロファイル内の属性を介してサブスクライバに適用されます。サブスクライバプロファイルは、システム上にローカルで設定することも、RADIUS サーバー上にリモートで設定することもできます。
ACL を RADIUS ベースのサブスクライバに適用するには、フィルタ ID 属性を使用します。
この属性の詳細については、『AAA Interface Administration and Reference』を参照してください。
この項では、プロファイルがシステム上でローカルに設定されている個々のサブスクライバに ACL を適用するための情報と手順について説明します。
重要 |
この項では、コンテキスト内のすべてのトラフィックに ACL リストを適用するための最小の命令セットについて説明します。追加のパラメータとオプションを設定するコマンドの詳細については、『Command Line Interface Reference』の「Subscriber Configuration Mode Commands」の章を参照してください。 |
サブスクライバにアクセスコントロールリストの機能を提供するようにシステムを設定するには、次の手順を実行します。
|
ステップ 1 |
設定例に従って、設定されたアクセスコントロールリストを適用します。 個々のサブスクライバへの ACL の適用 |
|
ステップ 2 |
ステップに従って、ACL がインターフェイスに適切に適用されていることを確認します。 個々のサブスクライバへの ACL 設定の確認 |
|
ステップ 3 |
Exec モードの save configuration コマンドを使用して、設定をフラッシュメモリ、外部メモリデバイス、またはネットワークの場所に保存します。詳細については、「設定の確認と保存」の章を参照してください。 |
ACL を個々のサブスクライバに適用するには、次の設定を使用します。
configure
context acl_ctxt_name [ -noconfirm ]
subscriber name subs_name
{ ip | ipv6 } access-group acl_list_name [ in | out ]
end コンテキスト名は、ACL を適用するインターフェイスを含む ACL コンテキストの名前です。
in キーワードも out キーワードも指定しなかった場合、ACL はインバウンドとアウトバウンドのすべてのパケットに適用されます。
適用する ACL は、このコマンドで指定されたコンテキストで設定する必要があります。
ACL 内で設定されているルールの数が、そのインターフェイスの 128 ルールの制限を超えていない場合、最大 8 つの ACL をグループに適用できます。
次の手順は、ACL の設定を確認するために使用されます。
|
Exec モードで次のコマンドを入力して、ACL リストが適切に適用されていることを確認します。 context_name は、ACL が適用されたサブスクライバ subs1 を含むコンテキストの名前です。 このコマンドの出力には、コンテキスト全体の設定が表示されます。インターフェイス設定に関するコマンドの出力を確認します。このコマンドは、この手順を使用して適用された ACL を表示します。 |
この項では、default という名前のサブスクライバに ACL を適用する方法について説明します。
重要 |
この項では、コンテキスト内のすべてのトラフィックに ACL リストを適用するための最小の命令セットについて説明します。追加のパラメータとオプションを設定するコマンドの詳細については、『Command Line Interface Reference』の「Subscriber Configuration Mode Commands」を参照してください。 |
サブスクライバにアクセスコントロールリストの機能を提供するようにシステムを設定するには、次の手順を実行します。
|
ステップ 1 |
設定例に従って、設定されたアクセスコントロールリストを適用します。 default というサブスクライバへの ACL の適用 |
|
ステップ 2 |
ステップに従って、ACL がインターフェイスに適切に適用されていることを確認します。 default というサブスクライバに対する ACL 設定の確認 |
|
ステップ 3 |
Exec モードの save configuration コマンドを使用して、設定をフラッシュメモリ、外部メモリデバイス、またはネットワークの場所に保存します。詳細については、「設定の確認と保存」の章を参照してください。 |
default というサブスクライバに ACL を適用するには、次の設定を使用します。
configure
context acl_ctxt_name [ -noconfirm ]
subscriber name subs_name
{ ip | ipv6 } access-group acl_list_name [ in | out ]
end 注:
コンテキスト名は、ACL を適用するインターフェイスを含む ACL コンテキストの名前です。
in キーワードも out キーワードも指定しなかった場合、ACL はインバウンドとアウトバウンドのすべてのパケットに適用されます。
適用する ACL は、このコマンドで指定されたコンテキストで設定する必要があります。
ACL 内で設定されているルールの数が、そのインターフェイスの 256 ルールの制限を超えていない場合、最大 16 の ACL をグループに適用できます。
次の手順は、ACL の設定を確認するために使用されます。
|
Exec モードで次のコマンドを入力して、ACL リストが適切に適用されていることを確認します。 context_name は、ACL が適用された default というサブスクライバを含むコンテキストの名前です。 このコマンドの出力には、コンテキスト全体の設定が表示されます。インターフェイス設定に関するコマンドの出力を確認します。このコマンドは、この手順を使用して適用された ACL を表示します。 |
この項では、さまざまなシステムサービスによって「デフォルト」のプロファイルとして使用されるサブスクライバへの ACL の適用について説明し、手順を示します。
重要 |
この項では、コンテキスト内のすべてのトラフィックに ACL リストを適用するための最小の命令セットについて説明します。追加のパラメータとオプションを設定するコマンドの詳細については、『Command Line Interface Reference』の「Subscriber Configuration Mode Commands」の章を参照してください。 |
サブスクライバにアクセスコントロールリストの機能を提供するようにシステムを設定するには、次の手順を実行します。
|
ステップ 1 |
default というサブスクライバへの ACL の適用 の設定例に従って、設定されたアクセスコントロールリストを適用します。 |
|
ステップ 2 |
サービス指定のデフォルトのサブスクライバへの ACL 設定の確認の手順に従って、ACL がインターフェイスに正しく適用されていることを確認します。 |
|
ステップ 3 |
Exec モードの save configuration コマンドを使用して、設定をフラッシュメモリ、外部メモリデバイス、またはネットワークの場所に保存します。詳細については、「設定の確認と保存」の章を参照してください。 |
ACL をサービス指定のデフォルトサブスクライバに適用するには、次の設定を使用します。
configure
context acl_ctxt_name [ -noconfirm ]
{ pdsn-service | fa-service | ha-service } service_name
default subscriber svc_default_subs_name
exit
subscriber name svc_default_subs_name
{ ip | ipv6 } access-group acl_list_name [ in | out ]
end コンテキスト名は、ACL を適用するインターフェイスを含む ACL コンテキストの名前です。
in キーワードも out キーワードも指定しなかった場合、ACL はインバウンドとアウトバウンドのすべてのパケットに適用されます。
適用する ACL は、このコマンドで指定されたコンテキストで設定する必要があります。
ACL 内で設定されているルールの数が、そのインターフェイスの 128 ルールの制限を超えていない場合、最大 8 つの ACL をグループに適用できます。
ACL の設定を確認します。
|
Exec モードで次のコマンドを入力して、ACL リストが適切に適用されていることを確認します。 context_name は、ACL が適用されたデフォルトのサブスクライバとともにサービスが含まれているコンテキストの名前です。 このコマンドの出力には、コンテキスト全体の設定が表示されます。インターフェイス設定に関するコマンドの出力を確認します。このコマンドは、この手順を使用して適用された ACL を表示します。 |
前の項で説明したように、IP ACL は、プロファイル内の属性を介してサブスクライバに適用されます。サブスクライバプロファイルは、システム上にローカルで設定することも、RADIUS サーバー上にリモートで設定することもできます。
| 機能 | 説明 |
|---|---|
|
default という名前のサブスクライバ |
システムは各コンテキスト内に default というサブスクライバを作成します。default というサブスクライバのプロファイルには、そのコンテキストで認証されたサブスクライバの属性値の設定テンプレートが備わっています。 RADIUS ベースのサブスクライバプロファイルに含まれていないサブスクライバ属性は、default というサブスクライバに定義されている属性の値に従って設定されます。 注:default というサブスクライバのプロファイルを使用してローカルに設定されているサブスクライバの欠落情報を提供することはできません。 |
|
default subscriber |
このコマンドを使用すると、複数のサービスが複数のプロファイルの「default」サブスクライバ情報を取得できます。 |
default というサブスクライバのプロファイルに ACL を適用することで、特定のコンテキスト内で促進されたすべてのサブスクライバ。
サブスクライバのプロファイルに ACL を適用した後、default subscriber コマンドを使用してそのサブスクライバを「デフォルト」のプロファイルとして使用するように設定することで促進されたすべてのサブスクライバ。
APN を介して複数のサブスクライバに ACL を適用するには、次の設定を使用します。
configure
context dest_context_name [-noconfirm]
apn apn_name
{ ip | ipv6 } access-group acl_list_name [ in | out ]
end 注:
適用する ACL は、APN の接続先コンテキスト内にある必要があります(APN が設定されているコンテキストとは異なる場合があります)。
in キーワードも out キーワードも指定しなかった場合、ACL はインバウンドとアウトバウンドのすべてのパケットに適用されます。
このコマンドは、1 つの ACL のみをサポートします。ただし、ACL には最大 256 のルールを設定できます。
各 APN に対して 4 つのアクセスグループを適用できます。次に例を示します。
ip access-group acl_list_name_1 in
ip access-group acl_list_name_2 out
ipv6 access-group acl_list_name_3 in
ipv6 access-group acl_list_name_4 out
IP ACL がプロファイル内の属性を使用してサブスクライバに適用される場合、サブスクライバプロファイルは、システム上にローカルで設定することも、RADIUS サーバー上にリモートで設定することもできます。
設定時間を短縮するために、代わりに ACL を GGSN サブスクライバの APN テンプレートに適用することができます。設定されている場合、APN テンプレートによって促進されたサブスクライバパケットには、関連付けられた ACL が適用されます。
この項では、APN テンプレートに ACL を適用する方法について説明します。
重要 |
この項では、コンテキスト内のすべてのトラフィックに ACL リストを適用するための最小の命令セットについて説明します。追加のパラメータとオプションを設定するコマンドの詳細については、『Command Line Interface Reference』の「Subscriber Configuration Mode Commands」の章を参照してください。 |
サブスクライバにアクセスコントロールリストの機能を提供するようにシステムを設定するには、次の手順を実行します。
|
ステップ 1 |
複数のサブスクライバへの APN を介した ACL の適用 の設定例に従って、設定されたアクセスコントロールリストを適用します。 |
|
ステップ 2 |
APN への ACL 設定の確認 のステップに従って、ACL がインターフェイスに適切に適用されていることを確認します。 |
|
ステップ 3 |
Exec モードの save configuration コマンドを使用して、設定をフラッシュメモリ、外部メモリデバイス、またはネットワークの場所に保存します。詳細については、「設定の確認と保存」の章を参照してください。 |
ACL の設定を確認するには:
|
Exec モードで次のコマンドを入力して、ACL リストが適切に適用されていることを確認します。 context_name は、ACL が適用されたデフォルトのサブスクライバを持つ APN apn1 を含むコンテキストの名前です。 このコマンドの出力には、コンテキスト全体の設定が表示されます。インターフェイス設定に関するコマンドの出力を確認します。このコマンドは、この手順を使用して適用された ACL を表示します。 |
フィードバック