Cisco ACNS キャッシング/ストリーミング コンフィギュレーション ガイド
IP アクセス コントロール リストの作 成および管理
IP アクセス コントロール リストの作成および管理
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

IP アクセス コントロール リストの作成および管理

IP ACL の概要

IP ACL の使用

IP ACL の定義およびアクティブ化の例

IP ACL の操作に関する基本情報

標準 IP ACL の操作

標準 IP ACL 設定モードへのアクセス

拡張 IP ACL の操作

拡張 IP ACL 設定モードへのアクセス

ローカルに配置された Content Engine での IP ACL の定義およびアクティブ化

使用上のガイドライン

IP ACL 設定モードに関する使用上のガイドライン

IP ACL の名前に関する使用上のガイドライン

ローカルに配置された Content Engine での IP ACL の作成または変更

インターフェイスでの IP ACL のアクティブ化

アプリケーションへの IP ACL の適用

IP ACL を使用した SNMP アクセスの制御

IP ACL を使用した TFTP アクセスの制御

設定例

IP ACL の削除

IP ACL 設定の表示

使用上のガイドライン

IP ACL カウンタのクリア

IP アクセス コントロール リストの作成および管理

この章では、ローカルに配置されている Content Engine でインターネット プロトコル(IP)アクセス コントロール リスト(ACL)を作成し、管理する方法を説明します。この章の構成は、次のとおりです。

「IP ACL の概要」

「IP ACL の操作に関する基本情報」

「ローカルに配置された Content Engine での IP ACL の定義およびアクティブ化」

「ローカルに配置された Content Engine での IP ACL の作成または変更」

「インターフェイスでの IP ACL のアクティブ化」

「アプリケーションへの IP ACL の適用」

「IP ACL の削除」

「IP ACL 設定の表示」


) この章で使用されている「IP ACL」という用語は、IP アクセス コントロール リストを表しています。


IP ACL の概要

ACNS 5.1 ソフトウェアは、IP パケット フィルタリングに対応した IP ACL をサポートします。この IP ACL を使用すると、ACNS ネットワーク管理者は IP パケットが Content Engine の特定のインターフェイスを通過するのを許可または拒否して、パケットをフィルタリングできます。

Content Engine がローカルに配置されている環境では、管理者はこの機能を使用して Content Engine 上でコンテンツ サービスと管理サービスへのアクセスを制御できます。たとえば、管理者は IP ACL を使用して、コンテンツ配信に対する Content Engine のパブリック インターフェイス、および管理サービス(Telnet、SSH、SNMP、HTTPS、ソフトウェア更新など)に対するプライベート インターフェイスを指定できます。図 14-1を参照してください。

図 14-1 IP ACL を使用した Content Engine の特定インターフェイスへのアクセス制御

 

次の例では、Content Engine がローカルに配置されている環境でどのように IP ACL を使用するかを示します。

Content Engine がユーザの敷地に置かれ、その管理の保護だけを目的としてサービス プロバイダーによって管理される。

Content Engine が企業内のいかなる場所にも配置される。ルータやスイッチと同様、管理者は Telnet、SSH、Content Engine GUI による IT ソース サブネットへのアクセスを制限したい。

強固な外部インターフェイスをもつアプリケーション レイヤ プロキシ ファイアウォールに露出したポートがない(「強固な」とは、そのインターフェイスが、主に保護を目的としてアクセス可能なポートを厳しく制限しているという意味です。このインターフェイスは外部にあるため、数多くの攻撃が可能です)。Content Engine の外部アドレスはインターネット グローバルで、内部アドレスはプライベートです。内部インターフェイスには、Telnet、SSH、Content Engine GUI へのアクセスを制限するための IP ACL があります。

Content Engine が信頼性の低い環境でリバース プロキシとして配置される。管理者は、外部インターフェイスでのポート 80 の受信トラフィック、およびバックエンド インターフェイスでの送信接続だけを許可したい。

WCCP を使用した Content Engine が、ファイアウォールとインターネット ルータ、またはインターネット ルータから離れたサブネットの間に置かれる。Content Engine とルータの両方に IP ACL が必要です。

IP ACL の使用

IP ACL を使用するには、次のプロセスを実行する必要があります。

1. ip access-list コマンドを使用して、IP ACL をローカルに配置されている Content Engine で定義します。

2. IP ACL を作成した後、ip access-group コマンドを使用して、その定義した IP ACL をローカルに配置されている Content Engine の受信または送信インターフェイスに適用します。


) IP ACL は、このローカルに配置されている Content Engine への Telnet、SSH、SNMP によるアクセスに対する許可または拒否にも使用できます。


IP ACL の定義およびアクティブ化の例

次の例では、ローカルに配置されている Content Engine で IP ACL を定義し、アクティブにする方法を示します。この例のように、最初に ip access-list コマンドを使用して、Content Engine の IP ACL を作成します。この場合、 example という名前の IP ACL(アクセス リスト)がすべての Web トラフィックを許可している一方、ある特定のホストへの SSH アクセスだけを許可しています。

ContentEngine(config)# ip access-list extended example
ContentEngine(config-ext-nacl)# permit tcp any any eq www
ContentEngine(config-ext-nacl)# permit tcp host 64.101.215.21 any eq ssh
ContentEngine(config-ext-nacl)# exit
 

IP ACL を作成したら、次に interface と ip access-group の各コマンドを使用して、Content Engine の特定のインターフェイスに対して IP ACL を適用し、アクティブにします。

ContentEngine(config)# int gigabitethernet 1/0
ContentEngine(config-if)# ip access-group example in
ContentEngine(config-if)# exit
 

IP ACL を定義しアクティブにしたら、 show running-configuration コマンドを使用して、Content Engine で実行中の設定を表示できます。

...
!
interface GigabitEthernet 1/0
ip address 10.1.1.50 255.255.0.0
ip access-group example in
exit
. . .
ip access-list extended example
permit tcp any any eq www
permit tcp host 64.101.215.21 any eq ssh
exit

. . .


) IP ACL は、各 ACNS ソフトウェア デバイスに対してのみ定義されます。IP ACL は、ACNS ネットワーク全体に対して、またはデバイス グループを介してグローバルに管理することはできません。Content Distribution Manager を使用した ACNS ネットワーク デバイス(中央に配置された Content Engine など)での IP ACL の作成および管理に関する詳細は、『Cisco ACNS ソフトウェア デプロイメント コンフィギュレーション ガイド Release 5.1』を参照してください。


IP ACL の基本的な情報については、「IP ACL の操作に関する基本情報」を参照してください。IP ACL の設定方法については、「ローカルに配置された Content Engine での IP ACL の定義およびアクティブ化」を参照してください。

IP ACL の操作に関する基本情報

IP ACL は、1 つまたは複数の条件エントリから構成されます。これらのエントリは、Content Engine が以降の処理のためにドロップまたは承認するパケットのタイプを指定します。Content Engine はそれぞれのエントリを IP ACL にある順序で適用します。このデフォルトは、ユーザがエントリを設定した順序です。

ACNS 5.1 ソフトウェアでは、次の 2 つのタイプの IP ACL があります。

標準(Standard)ACL

拡張(Extended)ACL


) ローカルに配置されている Content Engine(ローカル Content Engine とも呼びます)で IP ACL の作成と管理を行うには、ACNS ソフトウェアの CLI を使用する必要があります。Content Engine GUI は、ローカル Content Engine 上での IP ACL の設定を現在サポートしていません。


標準 IP ACL の操作

標準 ACL は、通常、次の目的に使用されます。

特定の IP アドレスをもつホストからの接続を許可する。

特定のネットワーク上のホストからの接続を許可する。

標準 IP ACL 設定モードへのアクセス

標準 IP ACL を操作するには、Content Engine 上で標準 IP ACL 設定モードに入る必要があります。グローバル設定モードから標準 IP ACL 設定モードにアクセスするには、 ip access-list standard コマンドを使用します。

ContentEngine(config)# ip access-list standard {acl-name | acl-num}
 

ここでは、

acl-name に、作成または変更したい標準 IP ACL の名前を入力します。

acl-num に、作成または変更したい標準 IP ACL の番号を入力します。

標準 IP ACL モードに入ると、 ContentEngine(config)# プロンプトが ContentEngine(config-std-nacl)# に変更されます。


ヒント 標準 IP ACL モードのプロンプト(ContentEngine(config-std-nacl)#)の「nacl」は、named access control list(名前付きアクセス コントロール リスト)を表しています。


たとえば、次の例では、ACL 番号 2 の標準 IP ACL を変更するために標準 IP ACL 設定モードに入る方法を示しています。この CLI は標準 IP ACL 設定モードに入り、このモードでは、以降のすべてのコマンドが現在指定されている標準 IP ACL(たとえば、標準 IP ACL nac2 )に適用されます。

ContentEngine(config)# ip access-list standard 2
ContentEngine(config-std-nacl)#
 

拡張 IP ACL の操作

拡張 IP ACLは、通常、次の項目に基づいた接続の制御に使用されます。

宛先 IP アドレス

IP プロトコル タイプ

UDP または TCP の送信元ポート、あるいは宛先ポート

ICMP メッセージのタイプまたはコード

TCP フラッグ ビット(確立)

さらに制限された条件を作成するには、これらの条件を送信元 IP アドレスの情報と組み合わせることができます。表 14-3 では、特定の ICMP メッセージのタイプとコードを照合するのに使用できるキーワードを示しています。

拡張 IP ACL 設定モードへのアクセス

拡張 IP ACL を操作するには、Content Engine 上で拡張 IP ACL 設定モードに入る必要があります。グローバル設定モードから拡張 IP ACL 設定モードにアクセスするには、 ip access-list extended コマンドを使用します。

ContentEngine(config)# ip access-list extended {acl-name | acl-num}
 

ここでは、

acl-name に、作成または変更したい拡張 IP ACL の名前を入力します。

acl-num に、作成または変更したい拡張 IP ACL の番号を入力します。

拡張 IP ACL モードに入ると、 ContentEngine(config)# プロンプトが ContentEngine(config-ext-nacl)# に変更されます。


ヒント 拡張 IP ACL モードのプロンプト(ContentEngine(config-ext-nacl)#)の「nacl」は、named access control list(名前付きアクセス コントロール リスト)を表しています。


たとえば、次の例では、ACL 番号 101 の拡張 IP ACL を変更するために、拡張 IP ACL 設定モードに入る方法を示しています。この CLI は拡張 IP ACL 設定モードに入り、このモードでは、以降のすべてのコマンドが現在指定されている拡張 IP ACL(たとえば、拡張 IP ACL 101)に適用されます。

ContentEngine(config)# ip access-list extended 101
ContentEngine(config-ext-nacl)#
 

) 拡張 IP ACL を作成または変更する方法については、「ローカルに配置された Content Engine での IP ACL の作成または変更」を参照してください。


ローカルに配置された Content Engine での IP ACL の定義およびアクティブ化

一部のサービス プロバイダーの配置では、Content Engine に、コンテンツを配信するためのユーザの IP アドレス スペース上のインターフェイス、および管理者が管理用に使用するためにプライベート IP アドレス スペース上のインターフェイスを指定できます。ACNS 5.1 ソフトウェアでは、さまざまなサービスを特定のインターフェイスに(たとえば、管理サービスをプライベート IP アドレス スペースに)関連付けることができます。これにより、企業のユーザは管理目的ではなく、コンテンツ配信だけのために Content Engine にアクセスできます。

Content Engine がローカルに配置されている ACNS 5.1 の環境で IP ACL を使用するには、システム管理者は CLI を使用して次のタスクを実行する必要があります。

1. ip access-list コマンドを使用して IP ACL を定義します。

2. interface と ip access-group の各コマンドを使用して、IP ACL を Content Engine の特定のインターフェイスに適用します。


ヒント IP ACL をインターフェイス上の受信または送信 IP トラフィックに適用するには、ip access-group コマンドを使用します。


使用上のガイドライン

ローカルに配置されている Content Engine で IP ACL を作成または変更する際は、次の一般的なガイドラインに注意してください。

IP ACL は各デバイスに対してのみ定義されます。ACL は、ACNS ネットワーク全体、またはデバイス グループを介してグローバルに管理することはできません。

IP ACL は、1 つまたは複数の条件エントリから構成されます。これらのエントリは、Content Engine が以降の処理のためにドロップまたは承認するパケットのタイプを指定します。Content Engine はそれぞれのエントリをアクセス リストにある順序で適用します。このデフォルトは、ユーザがエントリを設定した順序です。

標準または拡張 IP ACL にエントリを作成するには、deny または permit キーワードを使用し、Content Engine が以降の処理のためにドロップまたは承認するパケットのタイプを指定します。デフォルトでは、アクセス リストによりすべてが拒否されます。これは、このリストが暗黙の deny any エントリによって終了されるためです。したがって、有効なアクセス リストを作成するには、少なくとも 1 つの permit エントリを指定する必要があります。

拡張 IP ACL を特定のアプリケーションに適切なコマンドを使用して適用することもできます。存在しない IP ACL への参照は、permit any 条件ステートメントと同等です。

ACNS 5.1 リリースでは、 SNMP と TFTP に IP ACL の使用を設定するための特別なコマンドがあります。これらのコマンドは、次のとおりです。

snmp-server access-list {std-acl-num | std-acl-name}
tftp-server access-list {std-acl-num | std-acl-name}

snmp-server access-list tftp-server access-list の各コマンドは、標準 IP ACL の名前または番号のみ対応します。拡張 IP ACL の名前または番号は対応しないので注意してください。


その他のアプリケーション トラフィック(Telnet や SSH など)を制御するには、IP ACL をローカルに配置されている Content Engine のインターフェイス(通常、受信トラフィック)に適用します。

IP ACL 設定モードに関する使用上のガイドライン

IP ACL を使用する際は、IP ACL 設定モードに関する次のガイドラインに注意してください。

標準 IP ACL を操作するには、標準 IP ACL 設定モードに入る必要があります。

ContentEngine(config)# ip access-list standard ?
<1-99> Standard IP access-list number
WORD Access-list name (max 30 characters)
 

拡張 IP ACL を操作するには、拡張 IP ACL 設定モードに入る必要があります。

ContentEngine(config)# ip access-list extended ?
 
<100-199> Standard IP access-list number
WORD Access-list name (max 30 characters)
 

標準または拡張 IP ACL 設定モードに入っている場合は、編集コマンド( list delete 、および move )を使用して、現在の条件エントリの表示、特定のエントリ(条件)の削除、またはエントリが評価される順序の変更を行うことができます。

ContentEngine(config)# ip access-list standard 1
 
ContentEngine(config-std-nacl)#?
 
delete Delete a condition
deny Specify packets to reject
exit Exit from this submode
insert Insert a condition
list List conditions
move Move a condition
no Negate a command or set its defaults
permit Specify packets to accept
ContentEngine(config-std-nacl)#
 

標準または拡張 IP ACL にエントリを作成するには、deny または permit キーワードを使用し、Content Engine が以降の処理のためにドロップまたは承認するパケットのタイプを指定します。デフォルトでは、アクセス リストによりすべてが拒否されます。これは、このリストが暗黙の deny any エントリによって終了されるためです。したがって、有効なアクセス リストを作成するには、少なくとも 1 つの permit エントリを指定する必要があります。

IP ACL の名前に関する使用上のガイドライン

IP ACL の名前を作成する際は、次の命名ガイドラインに注意してください。

IP ACL の名前は、その Content Engine 内で固有でなければなりません。

IP ACL の名前が数値である場合( ip access-list standard acl-num または ip access-list extended acl-num など):

数値のみ指定できます(たとえば、 101 )。

数値 1 ~ 99 は標準 IP ACL を表します。

数値 100 ~ 199 は拡張 IP ACL を表します。

IP ACL の名前が文字である場合( ip access-list standard acl-name または ip access-list extended acl-name など):

名前の先頭は文字でなければなりません(たとえば、 snmpaccesslist )。

30 文字まで指定できます。

文字列内に 0 ~ 9 の数字を指定できます(たとえば、 snmpaccesslist7 )。

ほとんどの印刷可能な特殊文字を指定できます。ただし、スペースは指定できません。指定できる特殊文字は、 ~!@#$%^&*()_+-={}[]\:;'<>,./ です。指定できない特殊文字は、`|"? です。


) ローカルに配置されている Content Engine で IP ACL を作成または変更する方法については、「ローカルに配置された Content Engine での IP ACL の作成または変更」を参照してください。


ローカルに配置された Content Engine での IP ACL の作成または変更

IP ACL をローカルに配置されている Content Engine で設定する手順は、次のとおりです。


ステップ 1 Content Engine CLI にグローバル設定モードでアクセスします。

ContentEngine(config)#
 

ステップ 2 グローバル設定モードから、適切な IP ACL 設定モードにアクセスし、作成、変更、または表示したい IP ACL の名前または番号を指定します。

標準 IP ACL を作成または変更するには、ip access-list standard コマンドを使用して標準 IP ACL 設定モードに入ります。

ip access-list standard {acl-name | acl-num}
 

たとえば、次の例では、ACL 番号 59 の標準 IP ACL にその番号を指定してアクセスする方法を示しています。

ContentEngine(config)# ip access-list standard 59
 

この CLI は標準 IP ACL 設定モードに入ります。このモードでは、以降のすべてのコマンドが現在の標準 IP ACL に適用され、次のプロンプトが表示されます。

ContentEngine(config-std-nacl)#
 

拡張 IP ACL を作成または変更するには、ip access-list extended コマンドを使用して拡張 IP ACL 設定モードに入ります。

ip access-list extended {acl-name | acl-num}
 

たとえば、次の例では、 test2 という名前の拡張 IP ACL にその名前を指定してアクセスする方法を示しています。

ContentEngine(config)# ip access-list extended test2
 

この CLI は拡張 IP ACL 設定モードに入ります。このモードでは、以降のすべてのコマンドが現在の拡張 IP ACL に適用され、次のプロンプトが表示されます。

 
ContentEngine(config-ext-nacl)#
 

ステップ 3 標準 IP ACL で条件を追加、削除、または変更(たとえば、ACL 内で特定のエントリをリスト内の別の位置に移動)するには、次の手順を実行します。

a. 標準 IP ACL 設定モードから次のコマンドを入力して、標準 IP ACL の条件を追加、削除、または変更します。

たとえば、パケットを通過またはドロップさせるかの指定を許可(permit)または拒否(deny)から選択し、その送信元 IP アドレスと送信元 IP ワイルドカード アドレスを入力します。


) 特定のネットワークからの接続を許可するには、permit source-ip wildcard コマンドを使用します。source-ip には、指定したいネットワーク上のホストのネットワーク ID または IP アドレスを入力します。wildcard には、サブネット マスクのリバースであるマスクのドット付き 10 進数表記を入力します。このワイルドカードでは、0 は一致させるべき位置を表し、1 は何も特定しない位置を表します。たとえば、ワイルドカード 0.0.0.255 では送信元 IP アドレスの末尾の 8 ビットが無視されます。したがって、permit 192.168.1.0 0.0.0.255 のエントリは、192.168.1.0 ネットワーク上のすべてのホストからのアクセスを許可します。


[insert line-num] {deny | permit} {source-ip [wildcard] | host source-ip | any }
 
delete line-num | list [start-line-num] [end-line-num] | move old-line-num new-line-num | exit
no {deny | permit} {source-ip [wildcard] | host source-ip | any }
 

ヒント 既存の条件を IP ACL から削除するには、このコマンドの no 形式を使用します。Content Engine のデータベースから IP ACL をすべて削除する方法については、「IP ACL の削除」を参照してください。

表 14-1 では、標準 IP ACL の条件を説明します。

 

表 14-1 標準 IP ACL の条件

パラメータ
説明

insert

(オプション)条件を IP ACL の指定された行番号に挿入します。

line-num

エントリ(条件)を IP ACL 内の特定の行番号に指定します。

deny

指定された条件と一致するパケットをドロップします。

permit

指定された条件と一致するパケットを許可し、以降の処理を行います。

source-ip

送信元 IP アドレスを指定します。パケットの送信元のネットワークまたはホストの番号。この番号は、32 ビットの 4 つに区切られたドット付き 10 進数表記で指定します(たとえば、0.0.0.0)。

wildcard

一致させる IP アドレスの先頭部分を指定します。照合に必要なビットを 0 で指定し、4 桁のドット付き 10 進数表記で表します。

host

指定された IP アドレスを照合します。

any

任意の IP アドレスを照合します。

delete

指定されたエントリ(条件)を IP ACL から削除します。

line-num

エントリを IP ACL 内の特定の行番号に指定します。

list

指定されたエントリをリストします。none を指定するとすべてのエントリがリストされます。


ヒント list コマンドを使用すると、エントリ(条件)をマッピングする行番号を簡単に特定できます。このコマンドを使用しない場合、EXEC モードに戻り、show ip access-list EXEC コマンドを入力してこのマッピングを表示します。

start-line-num

(オプション)IP ACL の開始行番号を指定します。

end-line-num

(オプション)IP ACL の終了行番号を指定します。

move

IP ACL 内で指定されたエントリをリスト内の別の位置に移動します。

old-line-num

移動するエントリの行番号を指定します。

new-line-num

エントリの新しい位置を指定します。既存のエントリが IP ACL 内でこの新しい位置に移動されます。


ヒント 特定のネットワークからの接続を許可するには、permit host source-ip wildcard xコマンドを使用します。source-ip には、指定したいネットワーク上のホストのネットワーク ID または IP アドレスを入力します。wildcard には、サブネット マスクのリバースであるマスクのドット付き 10 進数表記を入力します。このワイルドカードでは、0 は一致させるべき位置を表し、1 は何も特定しない位置を表します。たとえば、ワイルドカード 0.0.0.255 では送信元 IP アドレスの末尾の 8 ビットが無視されます。したがって、permit 192.168.1.0 0.0.0.255 のエントリは、192.168.1.0 ネットワーク上のすべてのホストからのアクセスを許可します。

ステップ 4 拡張 ACL で条件を追加、削除、または変更するには、拡張 IP ACL 設定モードから次のコマンドを入力します。

a. IP ACL から行を削除するには、次の構文を使用します。

delete line-num
 

b. IP ACL 内で行を別の位置に移動するには、次の構文を使用します。

move old-line-num new-line-num
 

c. 条件を IP ACL に追加する場合、拡張の条件を指定する方法が多くあります。

一般的な IP プロトコルの場合は、次の構文を使用して条件を追加します。

[insert line-num] {deny | permit} {gre | ip | proto-num} {source-ip wildcard | host source-ip | any } {dest-ip wildcard | host dest-ip | any }
 
[no] {deny | permit} {gre | ip | proto-num} {source-ip wildcard | host source-ip | any} {dest-ip wildcard | host dest-ip | any}

 

一般的な TCP プロトコルの場合は、次の構文を使用して条件を追加します。

[insert line-num] {deny | permit} tcp {source-ip wildcard | host source-ip | any} [operator port [port]] {dest-ip wildcard | host dest-ip | any } [operator port [port]] [established]
 
no {deny | permit} tcp {source-ip wildcard | host source-ip | any } [operator port [port]] {dest-ip wildcard | host dest-ip | any } [operator port [port]] [established]

 

一般的な UDP プロトコルの場合は、次の構文を使用して条件を追加します。

[insert line-num] {deny | permit} udp {source-ip wildcard | host source-ip | any } [operator port [port]] {dest-ip wildcard | host dest-ip | any } [operator port [port]]
 
no {deny | permit} udp {source-ip wildcard | host source-ip | any } [operator port [port]] {dest-ip wildcard | host dest-ip | any } [operator port [port]]

 

一般的な ICMP プロトコルの場合は、次の構文を使用して条件を追加します。

[insert line-num] {deny | permit} icmp {source-ip wildcard | host source-ip |
any } {dest-ip wildcard | host dest-ip | any} [icmp-type [code] | icmp-msg]
 
no {deny | permit} icmp {source-ip wildcard | host source-ip | any } {dest-ip wildcard | host dest-ip | any } [icmp-type [code] | icmp-msg]
 

表 14-2 では、拡張 IP ACL の条件を説明します。

 

表 14-2 拡張 IP ACL の条件

パラメータ
説明

insert

(オプション)条件を拡張 IP ACL の指定された行番号に挿入します。

line-num

エントリを IP ACL 内の特定の行番号に指定します。

deny

指定された条件と一致するパケットをドロップします。

permit

指定された条件と一致するパケットを許可し、以降の処理を行います。

source-ip

送信元 IP アドレスを指定します。

wildcard

一致させる IP アドレスの先頭部分を指定します。特定するビットを 0 で指定し、4 桁のドット付き 10 進数表記で表します。

host

指定された IP アドレスを照合します。

any

任意の IP アドレスを照合します。

gre

GRE プロトコルを使用したパケットを照合します。

ip

すべての IP パケットを照合します。

proto-num

IP プロトコル番号を指定します。

tcp

TCP プロトコルを使用したパケットを照合します。

udp

UDP プロトコルを使用したパケットを照合します。

operator

(オプション)指定されたポートで使用する演算子を指定します。

ここでは、次のとおりです。

lt:less than(より小さい)

gt:greater than(より大きい)

eq:equal to(と等しい)

neq:not equal to(と等しくない)

range:inclusive range(を含む範囲)

次の例では、拡張 IP ACL で equal to 演算子を使用しています。

ContentEngine(config)# ip access-list extended example
ContentEngine(config-ext-nacl)# permit tcp any any eq www
ContentEngine(config-ext-nacl)# permit tcp host 10.1.1.5 any eq ssh

port

(オプション)ポートを指定します。番号(0 ~ 65535)またはキーワードを使用し、2 つのポート番号を range で指定します。

TCP キーワード

TCP では、次のキーワードのいずれかを使用します。

domain exec ftp ftp-data https mms , nfs rtsp ssh tacacs telnet www

UDP キーワード

UDP では、次のキーワードのいずれかを使用します。

bootpc bootps domain mms netbios-dgm netbios-ns netbios-ss nfs ntp snmp snmptrap , tacacs , tftp wccp

次に例を示します。

ContentEngine(config)# ip access-list extended example
ContentEngine(config-ext-nacl)# permit tcp any any eq www
ContentEngine(config-ext-nacl)# permit tcp host 10.1.1.5 any eq ssh

dest-ip

宛先 IP アドレスを指定します。

established

(オプション)TCP パケットを ACK または RST ビットのセットと照合します。

icmp

ICMP パケットを照合します。

icmp-type

ICMP メッセージ タイプで照合します。0 ~ 255 の番号で表示されています。

code

icmp-type と一緒に使用して、ICMP コード タイプでも照合します。0 ~ 255 の番号で表示されています。

icmp-msg

ICMP メッセージ タイプとコード タイプの組み合わせで照合します。 表 14-3 にあるキーワードで表示されています。

delete

指定されたエントリ(条件)を IP ACL から削除します。

line-num

エントリをアクセス リスト内の特定の行番号に指定します。

list


ヒント 指定されたエントリをリストします。none を指定するとすべてのエントリがリストされます。list コマンドを使用すると、条件をマッピングする行番号を特定できます。このコマンドを使用しない場合、EXEC モードに戻り、show ip access-list EXEC コマンドを入力してこのマッピングを表示します。

次の例では、list コマンドを使用する方法を示しています。

Content Engine(config-ext-nacl)# list
1 permit tcp host 10.1.1.1 any
2 permit tcp host 10.1.1.2 any
3 permit tcp host 10.1.1.3 any
Content Engine(config-ext-nacl)#

start-line-num

(オプション)リストする開始行番号を指定します。

end-line-num

(オプション)リストする終了行番号を指定します。

move

リスト内で指定されたエントリをリスト内の別の位置に移動します。

old-line-num

移動するエントリの行番号を指定します。

new-line-num

エントリの新しい位置を指定します。既存のエントリがアクセス リスト内のこの位置に移動されます。

exit

CLI グローバル設定モードのプロンプトに戻ります。

表 14-3 では、特定の ICMP メッセージ タイプとコードの照合に使用できるキーワードを示しています。

 

表 14-3 ICMP メッセージ タイプとコードのキーワード

administratively-prohibited

alternate-address

conversion-error

dod-host-prohibited

dod-net-prohibited

echo

echo-reply

general-parameter-problem

host-isolated

host-precedence-unreachable

host-redirect

host-tos-redirect

host-tos-unreachable

host-unknown

host-unreachable

information-reply

information-request

mask-reply

mask-request

mobile-redirect

net-redirect

net-tos-redirect

net-tos-unreachable

net-unreachable

network-unknown

no-room-for-option

option-missing

packet-too-big

parameter-problem

port-unreachable

precedence-unreachable

protocol-unreachable

reassembly-timeout

redirect

router-advertisement

router-solicitation

source-quench

source-route-failed

time-exceeded

timestamp-reply

timestamp-request

traceroute

ttl-exceeded

unreachable

ステップ 5 標準 IP ACL に別の条件を追加するには、ステップ 3 を繰り返し実行してください。拡張 IP ACL に別の条件(エントリ)を追加するには、ステップ 4 を繰り返し実行してください。

ステップ 6 Content Engine で IP ACL を作成または変更したら、次に interface ip access-group の各コマンドを使用して、この IP ACL をこの Content Engine の特定のインターフェイスに対して適用し、アクティブにします。


 


) IP ACL を Content Engine のインターフェイスに適用する方法については、次の「インターフェイスでの IP ACL のアクティブ化」を参照してください。


インターフェイスでの IP ACL のアクティブ化

ACNS 5.1 ソフトウェアでは、さまざまなサービスを特定のインターフェイスに関連付けることができます。ローカルに配置されている Content Engine の特定のインターフェイスで IP ACL をアクティブにするには、 ip access-group インターフェイス設定コマンドを使用します。各インターフェイスで 1 つの送信 IP ACL と 1 つの受信 IP ACL を使用できます。

ip access-group コマンドを入力する前に、IP ACL を適用したいインターフェイスのインターフェイス設定モードに入ります。

次のコマンドを使用すると、acl-out という名前の IP ACL を FastEthernet インターフェイスのスロット 0/ポート 0 上の送信トラフィックに適用し、アクティブにできます。

ContentEngine(config)# interface FastEthernet 0/0
ContentEngine(config-if)# ip access-group acl-out out
 

次のコマンドを使用すると、example という名前の IP ACL を Content Engine のギガビット Ethernet インターフェイスのポート 1/スロット 0 に適用し、アクティブにできます。

ContentEngine(config)# int gigabitethernet 1/0
ContentEngine(config-if)# ip access-group example in
ContentEngine(config-if)# exit
 

ローカルに配置されている Content Engine の特定のインターフェイスに IP ACL を適用し、アクティブにする手順は、次のとおりです。


ステップ 1 IP ACL を適用したいインターフェイスのインターフェイス設定モードに入ります。たとえば、次の例では、Content Engine の FastEthernet インターフェイスのスロット 0 ポート 0 に対するインターフェイス設定モードに入る方法を示しています。

ContentEngine(config)# interface FastEthernet 0/0
 

ステップ 2 ip access-group コマンドを使用して、事前に定義されている IP ACL を指定のインターフェイスに適用します。

ip access-group {acl-name | acl-num} {in | out}
no ip access-group {acl-name | acl-num} {in | out}
 

たとえば、次の例では、acl-out という名前の定義済み IP ACL を FastEthernet インターフェイスのスロット 0 ポート 0 上の送信トラフィックに適用する方法を示しています。

ContentEngine(config-if)# ip access-group acl-out out
 

表 14-4 では、ip access-group コマンドのパラメータを説明します。

 

表 14-4 ip access-group CLI コマンドのパラメータ

パラメータ
説明

acl-name

英数字の ID を 30 文字まで指定できます。先頭には、現在のインターフェイスに適用する IP ACL を識別するための文字を指定する必要があります。

acl-num

現在のインターフェイスに適用する IP ACL を識別するための数値の ID を指定します。標準 IP ACL の場合は、1 ~ 99 が有効です。拡張 IP ACL の場合は、100 ~ 199 が有効です。

in

指定された IP ACL を現在のインターフェイス上の受信パケットに適用します。

out

指定された IP ACL を現在のインターフェイス上の送信パケットに適用します。


 

アプリケーションへの IP ACL の適用

ACNS 5.1 リリースでは、IP ACL をすべてのネットワーキング インターフェイス上の受信トラフィックに適用すると、ローカルに配置されている Content Engine でパブリック インターフェイスをコンテンツ配信用に、プライベート インターフェイスを管理用にそれぞれ設定できます。SNMP と TFTP のアプリケーションには、IP ACL の使用を設定するための特別な CLI コマンドがあります。

snmp-server access-list { std-acl-num | std-acl-name }

tftp-server access-list { std-acl-num | std-acl-name }


snmp-server access-list tftp-server access-list の各コマンドは、標準 IP ACL の名前または番号のみが使用できます。拡張 IP ACL の名前または番号は使用できないので注意してください。


その他のアプリケーション トラフィック(Telnet や SSH など)を制御するには、IP ACL をローカルに配置されている Content Engine のインターフェイス(通常、受信トラフィック)に適用します。


) ACNS 5.1 ソフトウェアでは、TFTP プロトコルを使用したアクセスをユーザに対して許可または拒否するには、ip access-list を明示的に設定する必要があります。IP ACL を TFTP サービスに設定しないかぎり、コンテンツのセキュリティが危険にさらされ、TFTP は正しく機能しません。

ACNS 5.0 ソフトウェアでは、TFTP アクセスはユーザに対してデフォルトで拒否されていました。アクセスをユーザに対して許可するために、管理者は trusted-host コマンドを使用する必要がありました。ACNS 5.1 ソフトウェアでは、trusted-host コマンドの使用は推奨されていません。したがって、ACNS 5.1 以前から ACNS ソフトウェア 5.1 またはそれ以降にアップグレードされた Content Engine で trusted-host コマンドが設定されている場合、trusted-host コマンドは CLI に表示されますが、TFTP プロトコルには何も影響はありません。trusted-host の設定を削除するには、no trusted-host コマンドを使用します。


IP ACL を使用した SNMP アクセスの制御

標準 IP ACL を使用して、ローカルに配置されている Content Engine で SNMP エージェントへのアクセスを制御する手順は、次のとおりです。


ステップ 1 ip access-list standard コマンドを使用して、Content Engine で SNMP エージェントへのアクセスを制御するアクセス リストを作成します。

ステップ 2 snmp-server access-list グローバル設定コマンドを使用して、この IP ACL を SNMP サーバ(ローカルに配置された Content Engine)に関連付け、Content Engine でこの標準 IP ACL をアクティブにします。

ContentEngine(config)# snmp-server access-list {std-acl-num | std-acl-name}
 

ここでは、次のとおりです。

std-acl-name には、この Content Engine に関連付ける標準 IP ACL の名前を指定します。

std-acl-num には、この Content Engine に関連付ける標準 IP ACL の番号を指定します。

Content Engine の SNMP エージェントは、着信パケットを許可またはドロップする前に、指定されているアクセス コントロール リスト(たとえば、access list 1)と照合します。

ContentEngine(config)# snmp-server access-list 1
 


 

IP ACL を使用した TFTP アクセスの制御

標準 IP ACL を使用して、ローカルに配置されている Content Engine で TFTP サービスへのアクセスを制御する手順は、次のとおりです。


ステップ 1 ip access-list standard コマンドを使用して、Content Engine で実行中の TFTP サービスへのアクセスを制御するアクセス リストを作成します。たとえば、次のコマンドを使用すると、192.168.1.0 サブネットワーク上の TFTP クライアントに対して TFTP サービスへのアクセスを許可するアクセス リストを定義できます。

ContentEngine(config)# ip access-list standard 2
ContentEngine(config-std-nacl)# ip access-list permit 192.168.1.0 0.0.0.255
ContentEngine(config-std-nacl)# exit
ContentEngine(config)#
 

ステップ 2 tftp-server access-list グローバル設定コマンドを使用して、この IP ACL を TFTP サーバ(ローカルに配置された Content Engine)に関連付け、Content Engine でこの標準 IP ACL をアクティブにします。

ContentEngine(config)# tftp-server access-list {std-acl-num | std-acl-name}
 

ここでは、次のとおりです。

std-acl-name には、この Content Engine に関連付ける標準 IP ACL の名前を指定します。

std-acl-num には、この Content Engine に関連付ける標準 IP ACL の番号を指定します。

Content Engine は、実行中の TFTP サービスへのアクセスを許可または拒否する前に、指定されているアクセス コントロール リストと照合します。次の例では、Content Engine はアクセス コントロール リスト 2 と照合してから、TFTP アクセスをユーザ(TFTP クライアント)に対して許可または拒否します。

ContentEngine(config)# tftp-server access-list 2


 

設定例

次の例では、 ip access-list extended コマンドを使用して、 example という名前の拡張 IP ACL を作成する方法を示しています。この拡張 IP ACL は、すべての Web トラフィックを許可する一方、SSH を使用した特定のホスト(54.101.215.21 ホスト)の管理アクセスだけを許可します。

ContentEngine(config)# ip access-list extended example
ContentEngine(config-ext-nacl)# permit tcp any any eq www
ContentEngine(config-ext-nacl)# permit tcp host 10.1.1.5 any eq ssh
ContentEngine(config-ext-nacl)# exit
 

次の例では、Content Engine 上でインターフェイス アクセス リストとアプリケーション アクセス リストの使用が設定されています。

ContentEngine# show ip access-list
Space available:
47 access lists
492 access list conditions
 
Standard IP access list 1
1 permit 10.1.1.2
2 deny 10.1.2.1
(implicit deny any: 2 matches)
total invocations: 2
Extended IP access list 100
1 permit tcp host 10.1.1.1 any
2 permit tcp host 10.1.1.2 any
3 permit tcp host 10.1.1.3 any
(implicit fragment permit: 0 matches)
(implicit deny ip any any: 0 matches)
total invocations: 0
Standard IP access list test
1 permit 1.1.1.1 (10 matches)
2 permit 1.1.1.3
3 permit 1.1.1.2
(implicit deny: 2 matches)
total invocations: 12
 
Interface access list references:
FastEthernet 0/0 inbound 100
 
Application access list references:
tftp_server standard 1
UDP ports: 69
ContentEngine# show ip access-list test
Standard IP access list test
1 permit 1.1.1.1 (10 matches)
2 permit 1.1.1.3
3 permit 1.1.1.2
(implicit deny: 2 matches)
total invocations: 12
ContentEngine#
 

IP ACL の削除

Content Engine のデータベースから IP ACL、およびネットワーク インターフェイスとアプリケーション内のすべての条件と参照を削除する手順は、次のとおりです。


ステップ 1 Content Engine CLI にグローバル設定モードでアクセスします。

ContentEngine(config)#
 

ステップ 2 グローバル設定モードから、削除したい IP ACL の名前または番号を指定します。

標準 IP ACL を削除するには、no ip access-list standard コマンドを使用して削除したい標準 IP ACL を指定します。

no ip access-list standard {acl-name | acl-num}
 

たとえば、次の例では、 test2 という名前の標準 IP ACL を削除する方法を示しています。

ContentEngine(config)# no ip access-list standard test2
 

拡張 IP ACL を削除するには、no ip access-list extended コマンドを使用して削除したい拡張 IP ACL を指定します。

no ip access-list extended {acl-name | acl-num}
 

たとえば、次の例では、 example という名前の拡張 IP ACL を削除する方法を示しています。

ContentEngine(config)# no ip access-list extended example
 


 

IP ACL 設定の表示

Content Engine で現在定義されている IP ACL の設定を表示するには、show ip access-list EXEC コマンドを使用します。

show ip access-list [ acl-name | acl-num ]

表 14-5 では、show ip access-list コマンドのパラメータを説明します。

 

表 14-5 show ip access-list CLI コマンドのパラメータ

パラメータ
説明

acl-name

30 文字までの英数字の ID を使用して、特定のアクセス リストの情報を表示します。先頭には文字を指定する必要があります。

acl-num

数値の ID を使用して、特定のアクセス リストの情報を表示します。標準のアクセス リストには 0 ~ 99 を、拡張のアクセス リストには 1 ~ 199 を指定します。

使用上のガイドライン

show ip access-list EXEC コマンドを使用すると、現在のシステム(この場合、ローカルに配置された Content Engine)に定義されているアクセス リストを表示できます。特定のアクセス リストを名前または番号で指定しない場合は、定義されているすべてのアクセス リストの情報が次の項目を含めて表示されます。

新規のリストと条件に使用可能なスペース

定義されたアクセス リスト

インターフェイスとアプリケーションによる参照

次の例では、 show ip access-list コマンドを使用して表示できる IP ACL の設定情報を示しています。

ContentEngine#show ip access-list
Space available:
47 access lists
492 access list conditions
 
Standard IP access list 1
1 permit 10.1.1.2
2 deny 10.1.2.1
(implicit deny any: 2 matches)
total invocations: 2
Extended IP access list 100
1 permit tcp host 10.1.1.1 any
2 permit tcp host 10.1.1.2 any
3 permit tcp host 10.1.1.3 any
(implicit fragment permit: 0 matches)
(implicit deny ip any any: 0 matches)
total invocations: 0
Standard IP access list test
1 permit 1.1.1.1 (10 matches)
2 permit 1.1.1.3
3 permit 1.1.1.2
(implicit deny: 2 matches)
total invocations: 12
 
Interface access list references:
FastEthernet 0/0 inbound 100
Application access list references:
tftp_server standard 1
UDP ports: 69

次の例では、test という名前の IP ACL に対する show ip access-list コマンドの出力を示しています。

ContentEngine#show ip access-list test
Standard IP access list test
1 permit 1.1.1.1 (10 matches)
2 permit 1.1.1.3
3 permit 1.1.1.2
(implicit deny: 2 matches)
total invocations: 12
 

) パケットの数が 0 より大きい場合にかぎり、条件ステートメントに一致したパケットの数が表示されます。


IP ACL カウンタのクリア

Content Engine で IP ACL の統計情報をリセットするには、 clear ip access list counter コマンドを使用して IP ACL カウンタをクリアします。

ContentEngine# clear ip access-list counters {acl-name | acl-num}
 

すべての既存 IP ACL の条件ステートメントに関連した一致カウンタをクリアするには、この EXEC コマンドを使用します。IP ACL の名前または番号を指定すると、指定されたリストの一致カウンタのみがクリアされます。