IBM テクノロジー : データリンク スイッチング(DLSw)および データリンク スイッチング プラス(DLSw+)

サービス アクセス ポイントのアクセス コントロール リストについて

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 12 月 1 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco ルータのサービス アクセスポイント(SAP)アクセス コントロール リスト(ACL)の読み取りおよび作成方法について説明します。 ACL には数種類ありますが、 SAP 値に基づいたフィルタリングを行うものにに注目します。 このタイプの ACL 数値の範囲は、200 ~ 299 です。 これらの ACL は、ソース ルート ブリッジ(SRB)トラフィックのフィルタリングを行うトークンリング インターフェイス、トランスペアレント ブリッジ(TB)トラフィックのフィルタリングを行うイーサネット インターフェイス、またはデータリンク スイッチ イング ピア ルータに適用できます。

SAP ACL での主な身元証明要求は、特定の ACL エントリで許可または拒 否されている SAP を正確に認識することです。 特定のプロトコルをフィルタ リングする異なる 4 つのシナリオについて分析します。

はじめに

表記法

ドキュメントの表記法の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

システム ネットワーク アーキテクチャ(SNA)のフィルタリング

IBM の SNA トラフィックは 0x00 ~ 0xFF の範囲をとる SAP を使用し ます。 Virtual Telecommunications Access Method(VTAM)V3R4 以降のバー ジョンでは、SAP 値の範囲 4 ~ 252(16 進数表示の 0x04 ~ 0xFC)をサポ ートします。ここで、0xF0 は NetBIOS トラフィックに予約されます。 SAP は、0x04 で始まる 0x04 の倍数です。 次の ACL は、最も一般的な SNA SAP を許可し、残りを拒否します(各 ACL の最後に暗黙の "deny all" があるとします)。

access-list 200 permit 0x0000 0x0D0D

16 進数 Binary
0x0000 0x0D0D
DSAP      SSAP      Wildcard Mask for DSAP and SSAP respectively
|-------| |-------| |-------| |-------|
0000 0000 0000 0000 0000 1101 0000 1101 

ワイルドカード マスクのビットを使用して、この特定の ACL エントリ が許可する SAP を判別します。 ワイルドカード マスクのビットを変換する 場合は、次のルールを使用します。

  • 0:完全一致が必要。 これは、許可された SAP に ACL で 設定された SAP と同じ値を持つ必要があることを意味します。 詳細について は、次の表を参照してください。

  • 1:許可された SAP は、このビット位置、つまり「無指定」位置が 0 または 1 のいずれかになる。

ACL で設定 された SAP ワイル ドカード マスク ACL で許可 された SAP、X=0 または X=1
0 0 0
0 0 0
0 0 0
0 0 0
X 1 0
X 1 0
0 0 0
X 1 0

前述の表の結果を使用して、ここで上記のパターンに一致する SAP のリストを 示します。

許可された SAP(2 進数) 許可された SAP(16 進 数)
0 0 0 0 0 0 0 0 0x00
0 0 0 0 0 0 0 1 0x01
0 0 0 0 0 1 0 0 0x04
0 0 0 0 0 1 0 1 0x05
0 0 0 0 1 0 0 0 0x08
0 0 0 0 1 0 0 1 0x09
0 0 0 0 1 1 0 0 0x0C
0 0 0 0 1 1 0 1 0x0D

上記の表でわかるように、予想されるすべての SNA SAP がこの ACL に含まれるわけではありません。 ただし、これらの SAP は最も一 般的な場合を対象にしています。

ACL の設定時に考慮する別の点は、SAP 値がコマンドか、レスポンス かによって変わることです。 SSAP には、それらを区別するコマンド/レスポンス(C/R) ビットがあります。 C/R は、コマンドの場合は 0、レスポンスの場合は 1 に設定さ れます。 このため、ACL はレスポンスと同様にコマンドを許可またはブロックす る必要があります。 たとえば、SAP 0x05 は(応答に使用する) 1.に C/R が設定されていると SAP 0x04 です。 同様に 0x09(C/R が 1 に設定された SAP 0x08) 0x0D、および 0x01 にも適用されます。

NetBIOS のフィルタリング

NetBIOS トラフィックでは SAP 値 0xF0(コマンド用)と 0xF1(応答用)が使用されます。 通常、ネットワーク管理者は、これらの SAP 値 を使用してこのプロトコルをフィルタリングします。 次のアクセス リストの エントリは、NetBIOS トラフィックを許可し、他をすべて拒否します(各 AC L の最後には暗黙の "deny all" があります)。

access-list 200 permit 0xF0F0 0x0101

前のセクションの説明と同じ手順を使用して、上記の ACL が次の SAP を許可することを決定でできます。

その一方で、NetBIOS をブロックしてトラフィックの残りを許可したい 場合は、次の ACL を使用します。

access-list 200 deny 0xF0F0 0x0101
access-list 200 permit 0x0000 0xFFFF

IPX のフィルタリング

デフォルトでは、Cisco ルータが IPX トラフィックをブリッジしま す。 この動作を変更するには、ルータで ipx routing を設定する必 要があります。 802.2 カプセル化を使用する IPX は、DSAP および SSAP と して SAP 0xE0 を使用します。 このため、Cisco ルータが IPX をブリッジし ていて、要件がこのタイプのトラフィックを許可することである場合には、 この ACL を使用します。

access-list 200 permit 0xE0E0 0x0101

一方、次の ACL は IPX をブロックして、残りのトラフィックを許可しま す。

access-list 200 deny 0xE0E0 0x0101
access-list 200 permit 0x0000 0xFFFF

すべてのトラフィックの許可または拒否

すべての ACL には、暗黙の "deny all" があります。 設定された ACL の 動作を分析する際は、このエントリに注意する必要があります。 次に示す最 後の ACL エントリは、すべてのトラフィックを拒否します。

access-list 200 permit ....
access-list 200 permit ....
access-list 200 deny 0x0000 0xFFFF

ワイルドカード マスク(2 進数)の読み取りの際は、1 が「無指定」ビ ット位置になります。 また、2 進数で表されたすべてのワイルドカード マ スクはそれぞれ 16 進数の 0xFFFF に換わります。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 12403