IBM テクノロジー : IBM ネットワーキング

サービス アクセスポイント アクセス コントロール リストの理解

2003 年 12 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 9 月 9 日) | フィードバック

目次


概要

このドキュメントでは、Cisco ルータのサービス アクセスポイント(SAP)アクセス コントロール リスト(ACL)の読み取りおよび作成方法について説明します。ACL には数種類ありますが、 SAP 値に基づいたフィルタリングを行うものにに注目します。 このタイプの ACL 数値の範囲は、200 〜 299 です。これらの ACL は、 ソース ルート ブリッジ(SRB)トラフィックのフィルタリングを行うトークンリング インターフェイス、 トランスペアレント ブリッジ(TB)トラフィックのフィルタリングを行うイーサネット インターフェイス 、または データリンク スイッチ イング ピア ルータに適用できます。

SAP ACL での主な身元証明要求は、特定の ACL エントリで許可または拒 否されている SAP を正確に認識することです。特定のプロトコルをフィルタ リングする異なる 4 つのシナリオについて分析します。

システム ネットワーク アーキテクチャ(SNA)のフィルタリング

IBM の SNA トラフィックは 0x00 〜 0xFF の範囲をとる SAP を使用し ます。Virtual Telecommunications Access Method(VTAM)V3R4 以降のバー ジョンでは、SAP 値の範囲 4 〜 252(16 進数表示の 0x04 〜 0xFC)をサポ ートします。ここで、0xF0 は NetBIOS トラフィックに予約されます。SAP は、0x04 で始まる 0x04 の倍数です。次の ACL は、最も一般的な SNA SAP を許可し、残りを拒否します(各 ACL の最後に暗黙の "deny all" があるとします)。

access-list 200 permit 0x0000 0x0D0D

  

ACL の読み取りで、まず宛先 SAP(DSAP)、ソース SAP(SSAP)、および ワイルドカード マスクを 2 進数表示に変換します。

16 進数 2 進数
0x0000 0x0D0D
DSAP      SSAP      DSAP および SSAP それぞれのワイルドカード マスク

  |-------| |-------| |-------| |-------|

  0000 0000 0000 0000 0000 1101 0000 1101 

  

ワイルドカード マスクのビットを使用して、この特定の ACL エントリ が許可する SAP を判別します。ワイルドカード マスクのビットを変換する 場合は、次のルールを使用します。

  • 0:完全一致が必要。これは、許可された SAP に ACL で 設定された SAP と同じ値を持つ必要があることを意味します。詳細について は、次の表を参照してください。

  • 1:許可された SAP は、このビット位置、つまり「無指定」位置が 0 または 1 のいずれかになる。

ACL で設定 された SAP 0 0 0 0   0 0 0 0
ワイル ドカード マスク 0 0 0 0   1 1 0 1
ACL で許可 された SAP、X=0 または X=1 0 0 0 0   X X 0 X

前述の表の結果を使用して、ここで上記のパターンに一致する SAP のリストを 示します。

許可された SAP(2 進数) 許可された SAP(16 進 数)
0 0 0 0 0 0 0 0 0x00
0 0 0 0 0 0 0 1 0x01
0 0 0 0 0 1 0 0 0x04
0 0 0 0 0 1 0 1 0x05
0 0 0 0 1 0 0 0 0x08
0 0 0 0 1 0 0 1 0x09
0 0 0 0 1 1 0 0 0x0C
0 0 0 0 1 1 0 1 0x0D

上記の表でわかるように、予想されるすべての SNA SAP がこの ACL に含まれるわけではありません。ただし、これらの SAP は最も一 般的な場合を対象にしています。

ACL の設定時に考慮する別の点は、SAP 値がコマンドか、レスポンス かによって変わることです。SSAP には、それらを区別するコマンド/レスポンス(C/R) ビットがあります。C/R は、コマンドの場合は 0、レスポンスの場合は 1 に設定さ れます。このため、ACL はレスポンスと同様にコマンドを許可またはブロックす る必要があります。たとえば、sap 0x05(レスポンスに使用)が C/R が 1 に設定 された SAP 0x04 になります。同様に 0x09(C/R が 1 に設定された SAP 0x08) 0x0D、および 0x01 にも適用されます。

NetBIOS のフィルタリング

NetBIOS トラフィックは、SAP 値 0xF0(コマンドの場合)および 0xF1( レスポンスの場合)を使用します。通常、ネットワーク管理者は、これらの SAP 値 を使用してこのプロトコルをフィルタリングします。次のアクセス リストの エントリは、NetBIOS トラフィックを許可し、他をすべて拒否します(各 AC L の最後には暗黙の "deny all" があります)。

access-list 200 permit 0xF0F0 0x0101

  

前のセクションの説明と同じ手順を使用して、上記の ACL が次の SAP を許可することを決定でできます。

その一方で、NetBIOS をブロックしてトラフィックの残りを許可したい 場合は、次の ACL を使用します。

access-list 200 deny 0xF0F0 0x0101

  access-list 200 permit 0x0000 0xFFFF

  

IPX のフィルタリング

デフォルトでは、Cisco ルータが IPX トラフィックをブリッジしま す。この動作を変更するには、ルータで ipx routing を設定する必 要があります。802.2 カプセル化を使用する IPX は、DSAP および SSAP と して SAP 0xE0 を使用します。このため、Cisco ルータが IPX をブリッジし ていて、要件がこのタイプのトラフィックを許可することである場合には、 この ACL を使用します。

access-list 200 permit 0xE0E0 0x0101

  

一方、次の ACL は IPX をブロックして、残りのトラフィックを許可しま す。

access-list 200 deny 0xE0E0 0x0101

  access-list 200 permit 0x0000 0xFFFF

  

すべてのトラフィックの許可または拒否

すべての ACL には、暗黙の "deny all" があります。設定された ACL の 動作を分析する際は、このエントリに注意する必要があります。次に示す最 後の ACL エントリは、すべてのトラフィックを拒否します。

access-list 200 permit ....

  access-list 200 permit ....

  access-list 200 deny 0x0000 0xFFFF

  

ワイルドカード マスク(2 進数)の読み取りの際は、1 が「無指定」ビ ット位置になります。また、2 進数で表されたすべてのワイルドカード マ スクはそれぞれ 16 進数の 0xFFFF に換わります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 12403