中央管理配置に関する Cisco ACNS ソフトウェア コンフィギュレーション ガイド Release 5.5
IP ACL の作成と管理
IP ACL の作成と管理
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

IP ACL の作成と管理

IP ACL の概要

IP ACL の作成または変更

新規 IP ACL の作成

IP ACL への条件の追加

条件の変更、削除、または並べ替え

IP ACL とアプリケーションとの関連付け

インターフェイスへの IP ACL の適用

IP ACL の削除

IP ACL の作成と管理

Access Control List(ACL; アクセス制御リスト)では、パケットをフィルタにかける手段を提供し、IP パケットが指定のインターフェイスを通過することをユーザが許可または拒否できるようにしています。パケットのフィルタ処理は、ネットワーク全体のパケットの移動を制御するのに役立ちます。このようなフィルタリング制御は、ネットワーク トラフィックを限定し、特定のユーザまたはデバイスによるネットワークの使用を制限できます。

また、管理サービス(たとえば、SNMP[簡易ネットワーク管理プロトコル]、Secure Shell[SSH; セキュア シェル]、HTTPS、Telnet、FTP[ファイル転送プロトコル]、Trivial File Transfer Protocol[TFTP; 簡易ファイル転送プロトコル])に ACL を適用することもできます。ACL は、これらのアプリケーションが処理するトラフィックのタイプを制限することによって、アプリケーションが提供するトラフィックの制御に使用できます(現在、Content Distribution Manager GUI では、SNMP アプリケーション、TFTP アプリケーション、および WCCP アプリケーションにのみ標準 ACL を関連付けることができます)。

この章では、Content Distribution Manager GUI を使用して、デバイスに ACL を適用する手順を説明します。この章の内容は、次のとおりです。

「IP ACL の概要」

「IP ACL の作成または変更」

「IP ACL とアプリケーションとの関連付け」

「インターフェイスへの IP ACL の適用」

「IP ACL の削除」

IP ACL の概要

管理 ACNS ネットワーク環境では、管理者は、各種デバイスやサービスに対する不正なアクセスを防止する必要があります。管理者は、ACNS ソフトウェアがサポートしている標準 ACL および拡張 ACL を使用することで、Content Engine、Content Router、または Content Distribution Manager などの ACNS ネットワーク デバイスへのアクセス、もしくはこれらのデバイスを介したアクセスを制限できます。管理者は、ACL を使用して企業ネットワークに被害を与えるハッカー、ワーム、およびウイルスの侵入を減らすことができます。

また、ACNS ソフトウェアは、各種サービスを特定のインターフェイスと結合する制御機能も備えています。たとえば、管理者は IP ACL を使用して、Content Engine 上のパブリック インターフェイスをコンテンツ配信用に指定し、プライベート インターフェイスを管理サービス(たとえば、Telnet、SSH、SNMP、HTTPS、およびソフトウェア アップグレード)用に指定できます。いずれかのサービスにアクセスしようとするデバイスは、アクセスが許可される前に、信頼されるデバイスのリストに登録されていなければなりません。ある定まったポート上で特定のプロトコル タイプの着信トラフィックに対する ACL の実装は、Global Site Selector と Cisco Router に対する ACL のサポートと同様です。

システム管理者がACL を使用するには、ACL を設定してから、特定のサービスまたはインターフェイスに適用する必要があります。次に、IP ACL が、企業でどのように使用できるかの例を示します。

強化外部インターフェイスを備えているアプリケーション層のプロキシ ファイアウォールに、外部に露出しているポートがありません([強化] とは、どのポートが、主にセキュリティのためにアクセス可能とするかをインターフェイス上で慎重に制限することです。このインターフェイスは外部に存在するので、さまざまなタイプの攻撃を受ける可能性があります)。Content Engine の外部アドレスは、グローバルにインターネットからアクセス可能です。一方、Content Engine の内部アドレスはプライベートです。内部インターフェイスには、Telnet、SSH、GUI、および Content Distribution Manager トラフィックを制限する ACL があります。

Content Engine は、企業内のどこかに配置されています。管理者は、ルータやスイッチと同じように、IT ソース サブネットへの Telnet、SSH、Content Distribution Manager、および GUI アクセスを制限することを望んでいます。

Content Engine が、信頼できない環境でリバース プロキシとして配置されています。管理者は、外部インターフェイス上でのポート 80 着信トラフィックとバックエンド インターフェイス上での発信接続のみを許可することを望んでいます。

ファイアウォールと、インターネット ルータまたはインターネット ルータから離れたサブネットとの間に、WCCP を使用する Content Engine が配置されています。Content Engine とルータの両方に IP ACL が必要です。


) TFTP プロトコルを使用して、ユーザへのアクセスの許可または拒否を行うには、明示的に
ip access-list コマンドを設定する必要があります。TFTP サービス用の ACL が明示的に設定されない場合、コンテンツのセキュリティは危険にさらされ、TFTP は正常に機能しません。

ip access-list コマンドは、trusted-host コマンドの代わりです。5.1 よりも前の ACNS リリースを使用する Content Engine 上で trusted-host コマンドを使用して、デバイスを順次 ACNS 5.1 以降にアップグレードするとこのコマンドは CLI に表示されますが、TFTP プロトコルには影響を与えません。trusted host 設定を削除するには、no trusted-host コマンドを使用します。


IP ACL の作成または変更


) IP ACL は、個々のデバイスのみに定義されます。IP ACL は、ACNS ネットワーク全体でグローバルに管理することも、またはデバイス グループを介して管理することもできません。IP ACL は、IP/TV Program Manager デバイス上では定義できません。


IP ACL を作成する場合、次の制約事項に注意してください。

IP ACL 名は、デバイス内で固有でなければなりません。

IP ACL 名は、30 文字に制限され、空白または特殊文字を含んではいけません。

Content Distribution Manager は、デバイスごとに最大 50 個の IP ACL、および合計 500 個の条件を管理できます。

IP ACL 名が数字の場合、1 ~ 99 の数字は標準 IP ACL を表し、100 ~ 199 の数字は拡張 IP ACL を表します。先頭が数字の IP ACL 名には、数字以外の文字を含むことはできません。

拡張 IP ACL は、SNMP、TFTP、または WCCP アプリケーションと一緒に使用できません。

新規 IP ACL の作成

Content Distribution Manager GUI を使用して新規 IP ACL を作成する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices の順に選択します。

ステップ 2 IP ACL を作成するデバイスの名前の横にある Edit アイコンをクリックします。

ステップ 3 コンテンツのテーブル全体を表示するために、Contents ペインの上にある Show All ボタンをクリックします。

ステップ 4 Contents ペインから、 General Settings > Network > IP ACL の順に選択します。IP ACL ウィンドウが表示されます。

ステップ 5 タスクバーから Create a new IP ACL アイコンをクリックします。Creating New IP ACL ウィンドウ表示されますIP ACL の命名規則に従って、Name フィールドに名前を入力します。

ステップ 6 ドロップダウン リストから、IP ACL のタイプ( Standard または Extended )を選択します。デフォルトは Standard です。

ステップ 7 IP ACL を保存するには、 Submit をクリックします。ウィンドウが更新され、新規に作成された IP ACL 用の Modifying IP ACL ウィンドウが表示されます。


) この時点で Submit をクリックしても、単に IP ACL が保存されるだけです。条件が定義されていない IP ACL は、個々のデバイスに表示されません。



 

IP ACL への条件の追加

IP ACL に条件を追加する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices の順に選択します。

ステップ 2 IP ACL を作成するデバイスの名前の横にある Edit アイコンをクリックします。

ステップ 3 Contents ペインから、 General Settings > Network > IP ACL の順に選択しますIP ACL ウィンドウが表示されます。

ステップ 4 条件を追加する IP ACL の名前の横にある Edit アイコンをクリックします。Modifying IP ACL ウィンドウが表示されます。

ステップ 5 タスクバーから、 Create New Condition アイコンをクリックします。Creating New Condition ウィンドウが表示されます(図17-1 を参照)。


) IP ACL 条件を作成するために使用可能なフィールドの数は、作成した IP ACL のタイプ、つまり標準か拡張かによって異なります。


図17-1 Creating New Condition for Extended IP ACL ウィンドウ

 

ステップ 6 作成する IP ACL のタイプでイネーブルになっているプロパティに値を入力します。

標準 IP ACL を作成するには、ステップ 7 へ進みます。

拡張 IP ACL を作成するには、ステップ 8 へ進みます。

ステップ 7 標準 IP ACL の条件を設定する手順は、次のとおりです。

a. ドロップダウン リストから、目的( Permit または Deny )を選択します。

b. Source IP フィールドに、ソース IP アドレスを入力します。

c. Source IP Wildcard フィールドに、ソース IP ワイルドカード アドレスを入力します。

d. この条件を保存するには、 Submit をクリックします。Modifying IP ACL ウィンドウが再び表示され、条件とその設定されたパラメータを表形式で表示します。

e. IP ACL に別の条件を追加する場合は、上記のステップを繰り返します。

f. Modifying IP ACL ウィンドウから条件のリストを並べ替えるには、Move カラムの上矢印または下矢印を使用するか、または設定されたパラメータを基準にソートするカラム見出しをクリックします。


) Content Distribution Manager GUI に一覧表示される条件の順序は、デバイスに適用される IP ACL の順序になります。


g. IP ACL に条件を追加し終わり、すべてのエントリと条件の表示順序を確認したら、Modifying IP ACL ウィンドウで Submit をクリックして、IP ACL をデバイスのデータベースに渡します。

グリーンの「Change submitted」インジケータが、Modifying IP ACL ウィンドウの右下隅に表示され、IP ACL をデバイスのデータベースに送信中であることを示します。

表17-1 に、標準 IP ACL のフィールドを示します。

 

表17-1 標準 IP ACL の条件

フィールド
デフォルト値
説明

Purpose* 1

Permit

パケットを通す( Permit )か、廃棄する( Deny )かを指定します。

Source IP*

0.0.0.0

パケットの送信元のネット部またはホスト部の番号。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。

Source IP Wildcard*

255.255.255.255

ソースに適用されるワイルドカード ビット。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。無視するビット位置には、1 を指定し、重要なビット位置には 0 を指定します。

1.* = 入力必須フィールド

ステップ 8 拡張 IP ACL の条件を設定する手順は、次のとおりです。

a. ドロップダウン リストから、目的( Permit または Deny )を選択します。

b. Extended Type ドロップダウン リストから、 Generic TCP UDP 、または ICMP を選択します。( 表17-2 を参照)。

拡張 IP ACL タイプを選択すると、選択したタイプに応じて、GUI で各種オプションが使用できるようになります。

c. 選択したタイプでイネーブルになったフィールドに、データを入力します( 表17-3 表17-6 を参照)。

d. この条件を保存するには、 Submit をクリックします。Modifying IP ACL ウィンドウが再び表示され、条件とその設定されたパラメータを表形式で表示します。

e. IP ACL に別の条件を追加する場合は、上記のステップを繰り返します。

f. Modifying IP ACL ウィンドウから条件のリストを並べ替えるには、Move カラムの上矢印または下矢印を使用するか、または設定されたパラメータを基準にソートするカラム見出しをクリックします。


) Content Distribution Manager GUI に一覧表示される条件の順序は、デバイスに適用される IP ACL の順序になります。


g. IP ACL に条件を追加し終わり、すべてのエントリと条件の表示順序を確認したら、Modifying IP ACL ウィンドウで Submit をクリックして、IP ACL をデバイスのデータベースに渡します。

グリーンの「Change submitted」インジケータが、Modifying IP ACL ウィンドウの右下隅に表示され、IP ACL をデバイスのデータベースに送信中であることを示します。

 

表17-2 拡張 IP ACL の条件

フィールド
デフォルト値
説明

Purpose* 2

Permit

パケットを通すか、廃棄するかを指定します。選択項目は Permit と Deny です。

Extended Type*

Generic

条件に適用されるインターネット プロトコルを指定します。

このオプションを選択すると、GUI ウィンドウが更新され、該当するフィールド オプションがイネーブルになります。選択項目は、次のとおりです。

Generic( 表17-3 を参照)

TCP( 表17-4 を参照)

UDP( 表17-5 を参照)

ICMP( 表17-6 を参照)

2.* = 入力必須フィールド

 

表17-3 拡張 IP ACL Generic の条件

フィールド
デフォルト値
説明

Purpose* 3

Permit

パケットを通す( Permit )か、廃棄する( Deny )かを指定します。

Extended Type*

Generic

任意のインターネット プロトコルと照合します。

Protocol

ip

インターネット プロトコル( gre icmp ip tcp 、または udp) 。任意のインターネット プロトコルと照合させるには、キーワード ip を使用します。

Source IP*

0.0.0.0

パケットの送信元のネット部またはホスト部の番号。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。

Source IP Wildcard*

255.255.255.255

ソースに適用されるワイルドカード ビット。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。無視するビット位置には、1 を指定し、重要なビット位置には 0 を指定します。

Destination IP

0.0.0.0

パケットの送信先のネット部またはホスト部の番号。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。

Destination IP Wildcard

255.255.255.255

ソースに適用されるワイルドカード ビット。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。無視するビット位置には、1 を指定し、重要なビット位置には 0 を指定します。

3.* = 入力必須フィールド

 

表17-4 拡張 IP ACL TCP の条件

フィールド
デフォルト値
説明

Purpose* 4

Permit

パケットを通す( Permit )か、廃棄する( Deny )かを指定します。

Extended Type*

TCP

特定の TCP インターネット プロトコルと照合します。

Established

チェックマークなし(false)

TCP データグラムが接続が確立されたことを示す ACK または RST ビット セットをもつ場合、チェックマークが付いているときに、ACL 条件と照合されます。接続を形成するために使用される初期 TCP データグラムは照合されません。

Source IP*

0.0.0.0

パケットの送信元のネット部またはホスト部の番号。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。

Source IP Wildcard*

255.255.255.255

ソースに適用されるワイルドカード ビット。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。無視するビット位置には、1 を指定し、重要なビット位置には 0 を指定します。

Source Port 1

0

TCP ポートの 10 進数または名前。有効なポート番号は、0 ~ 65535 です。有効な TCP ポート名は、次のとおりです。

ftp

ftp-data

https

netbios-dgm

netbios-ns

netbios-ss

nfs

rtsp

ssh

telnet

www

Source Operator

range

ソース ポートと着信パケットの比較方法を指定します。選択項目は、<、>、==、!=、または range です。

Source Port 2

65535

TCP ポートの 10 進数または名前。Source Port 1 を参照してください。

Destination IP

0.0.0.0

パケットの送信先のネット部またはホスト部の番号。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。

Destination IP Wildcard

255.255.255.255

ソースに適用されるワイルドカード ビット。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。無視するビット位置には、1 を指定し、重要なビット位置には 0 を指定します。

Destination Port 1

0

TCP ポートの 10 進数または名前。有効なポート番号は、0 ~ 65535 です。有効な TCP ポート名は、次のとおりです。

ftp

ftp-data

https

netbios-dgm

netbios-ns

netbios-ss

nfs

rtsp

ssh

telnet

www

Destination Operator

range

宛先ポートと着信パケットの比較方法を指定します。選択項目は、<、>、==、!=、または range です。

Destination Port 2

65535

TCP ポートの 10 進数または名前。Destination Port 1 を参照してください。

4.* = 入力必須フィールド

 

表17-5 拡張 IP ACL UDP の条件

フィールド
デフォルト値
説明

Purpose* 5

Permit

パケットを通す( Permit )か、廃棄する( Deny )かを指定します。

Extended Type*

UDP

特定の UDP インターネット プロトコルと照合します。

Established

--

UDP には使用できません。

Source IP*

0.0.0.0

パケットの送信元のネット部またはホスト部の番号。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。

Source IP Wildcard*

255.255.255.255

ソースに適用されるワイルドカード ビット。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。無視するビット位置には、1 を指定し、重要なビット位置には 0 を指定します。

Source Port 1

0

UDP ポートの 10 進数または名前。有効なポート番号は、0 ~ 65535 です。有効な UDP ポート名は、次のとおりです。

bootpc

bootps

domain

netbios-dgm

netbios-ns

netbios-ss

nfs

ntp

snmp

snmptrap

tacacs

tftp

wccp

Source Operator

range

ソース ポートと着信パケットの比較方法を指定します。選択項目は、<、>、==、!=、または range です。

Source Port 2

65535

UDP ポートの 10 進数または名前。Source Port 1 を参照してください。

Destination IP

0.0.0.0

パケットの送信先のネット部またはホスト部の番号。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。

Destination IP Wildcard

255.255.255.255

ソースに適用されるワイルドカード ビット。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。無視するビット位置には、1 を指定し、重要なビット位置には 0 を指定します。

Destination Port 1

0

UDP ポートの 10 進数または名前。有効なポート番号は、0 ~ 65535 です。有効な UDP ポート名は、次のとおりです。

bootpc

bootps

domain

netbios-dgm

netbios-ns

netbios-ss

nfs

ntp

snmp

snmptrap

tacacs

tftp

wccp

Destination Operator

range

宛先ポートと着信パケットの比較方法を指定します。選択項目は、<、>、==、!=、または range です。

Destination Port 2

65535

UDP ポートの 10 進数または名前。Destination Port 1 を参照してください。

5.* = 入力必須フィールド

 

表17-6 拡張 IP ACL ICMP の条件

フィールド
デフォルト値
説明

Purpose* 6

Permit

パケットを通す( Permit )か、廃棄する( Deny )かを指定します。

Extended Type*

ICMP

ICMP インターネット プロトコルと照合します。

Source IP*

0.0.0.0

パケットの送信元のネット部またはホスト部の番号。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。

Source IP Wildcard*

255.255.255.255

ソースに適用されるワイルドカード ビット。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。無視するビット位置には、1 を指定し、重要なビット位置には 0 を指定します。

Destination IP

0.0.0.0

パケットの送信先のネット部またはホスト部の番号。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。

Destination IP Wildcard

255.255.255.255

ソースに適用されるワイルドカード ビット。4 つの部分からなるドット付き 10 進形式の 32 ビット数として指定します。無視するビット位置には、1 を指定し、重要なビット位置には 0 を指定します。

ICMP Param Type*

なし

選択項目は、 None Type/Code 、または Msg です。

None -- ICMP Type、Code、および Message の各フィールドをディセーブルにします。

Type/Code -- ICMP メッセージを ICMP メッセージ タイプとコードによってフィルタリングできます。また、ICMP メッセージ コード番号を設定する機能をイネーブルにします。

Msg -- キーワードを使用して、Type と Code の組み合わせを指定できるようにします。ICMP メッセージ ドロップダウン リストをアクティブにします。ICMP Type フィールドをディセーブルにします。


) これらのキーワードの詳細については、『Cisco ACNS Software Command Reference』Release 5.5 を参照してください(ip access-list extended コマンドを参照)。


ICMP Message*

administratively-
prohibited

ICMP タイプとコードの組み合わせを、ドロップダウン リストから選択されたキーワードを使用して指定できます。


) これらのキーワードの詳細については、『Cisco ACNS Software Command Reference』Release 5.5 を参照してください(ip access-list extended コマンドを参照)。


ICMP Type*

0

0 ~ 255 の数字。このフィールドがイネーブルになるのは、 Type/Code を選択したときです。

Use ICMP Code*

チェックマークなし

チェックマークが付いていると、ICMP Code フィールドがイネーブルになります。

ICMP Code*

0

0 ~ 255 までの数字。特定のタイプの ICMP メッセージを ICMP メッセージ コードでさらにフィルタリングできるメッセージ コード オプション。

6.* = 入力必須フィールド

 


 

条件の変更、削除、または並べ替え

IP ACL から個々の条件を変更または削除する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices の順に選択します。

ステップ 2 変更対象の IP ACL をもつデバイスの名前の横にある Edit アイコンをクリックします。

ステップ 3 Contents ペインから、 General Settings > Network > IP ACL の順に選択します

ステップ 4 変更する IP ACL の名前の横にある Edit アイコンをクリックします。Modifying IP ACL ウィンドウが表示され、その IP ACL に適用されるすべての条件をリスト表示します。

ステップ 5 変更または削除しようとする条件の横にある Edit Condition アイコンをクリックします。Modifying Condition ウィンドウが表示されます。

ステップ 6 条件を変更するには、必要に応じて修正可能なフィールドを変更します。

ステップ 7 条件を削除するには、タスクバーから Trash Delete IP ACL Condition )アイコンをクリックします。

ステップ 8 条件のリストを並べ替えるには、Move カラムの上矢印または下矢印を使用し、 Submit をクリックします。


 

IP ACL とアプリケーションとの関連付け

Content Distribution Manager GUI を使用すると、標準 IP ACL を SNMP、TFTP、ネイティブ FTP、WCCP と関連付けることができます。ACL に関連付けられている、これらのアプリケーションのいずれかにアクセスする任意のデバイスはアクセスが許可されている、信頼されるデバイスのリストに登録されていなければなりません。あらかじめ設定されている標準 IP ACL を SNMP、TFTP、ネイティブ FTP、WCCP と関連付けることができます。ただし、拡張 IP ACL を WCCP アプリケーションにのみ関連付けることができます。

標準 IP ACL をこれらのアプリケーションのいずれかに関連付ける手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices の順に選択します。

ステップ 2 IP ACL を作成したデバイスの名前の横にある Edit アイコンをクリックします。

ステップ 3 Contents ペインから、 General Settings > Network > IP ACL Feature Usage の順に選択しますIP ACL Feature Settings ウィンドウが表示されます。 表17-7 では、IP ACL Feature Settings ウィンドウのフィールドと、対応する CLI グローバル コンフィギュレーション コマンドを示します。

ステップ 4 ドロップダウン リストから、SNMP、TFTP、FTP-IN、FTP-OUT、WCCP 用の IP ACL の名前を選択します。これらのアプリケーションのいずれとも IP ACL を関連付けない場合は、 Do Not Set を選択します。


) SNMP、TFTP、FTP-IN のドロップダウン リストには、すべての標準 IP ACL の名前が含まれています。標準 IP ACL(拡張 IP ACL ではなく)だけが、SNMP、TFTP、ネイティブ FTP-IN アプリケーションと関連付けることができます。


ステップ 5 この設定を保存するには、 Submit をクリックします。

 

表17-7 IP ACL 機能設定

GUI パラメータ
機能
CLI コマンド

SNMP

標準 IP ACL を SNMP と関連付けます。

snmp-server access-list { std_acl_number | acl_name }

TFTP

標準 IP ACL を TFTP と関連付けます。

tftp-server access-list { std_acl_number | acl_name }

FTP-IN

標準 IP ACL と、着信 FTP ネイティブ プロキシ モードおよび透過的なリダイレクト接続を関連付けます。

ftp-native access-list in { std_acl_number | acl_name }

FTP-OUT

拡張 IP ACL と、発信 FTP ネイティブ プロキシ モードおよび透過的なリダイレクト接続を関連付けます。

ftp-native access-list out { ext_acl_number | acl_name }

WCCP

IP ACL を WCCP と関連付けます。

wccp access-list { std_acl_number | ext_acl_number | acl_name }

 


 

インターフェイスへの IP ACL の適用

ACNS ソフトウェアを使用すると、SNMP、TFTP、ネイティブ FTP、WCCP アプリケーションを特定のインターフェイス(プライベート IP アドレスに対する管理サービスなど)に適用できます。これにより、Content Engine はコンテンツを配信するパブリック IP アドレス空間内に 1 つのインターフェイス、また管理用に管理者が使用するプライベート IP アドレス空間内にもう 1 つインターフェイスをもつことができます。この機能により、クライアントはコンテンツを配信する目的で、パブリック IP アドレス空間内でのみ Content Engine にアクセスでき、管理目的ではアクセスできなくなります。IP ACL に関連付けられている、これらのアプリケーションのいずれかにアクセスする任意のデバイスはアクセスが許可されている、信頼されるデバイスのリストに登録されていなければなりません。

インターフェイスに IP ACL を適用する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices の順に選択します。

ステップ 2 IP ACL をインターフェイスに適用するデバイスの名前の横にある Edit アイコンをクリックします。

ステップ 3 Contents ペインから、 General Settings > Network > Network Interfaces の順に選択します。

このデバイスに対応した Network Interfaces ウィンドウが表示されます。このウィンドウには、そのデバイスで使用できるすべてのインターフェイスが表示されています。


) Port Type カラムには、EtherChannel 設定を示す PortChannel インターフェイスが含まれています。ACNS 5.x ソフトウェア用の EtherChannel は、速度が同じ最大 4 つまでのネットワーク インターフェイスを 1 つの仮想インターフェイスにグループ化することをサポートしています。( EtherChannel の設定を参照)。


ステップ 4 IP ACL を適用するインターフェイスの名前の横にある Edit アイコンをクリックします。Modifying Network Interface ウィンドウが表示されます(図17-2 を参照)。

図17-2 ネットワーク インターフェイスの変更-- IP ACL の適用

 

ステップ 5 ウィンドウの一番下までスクロールし、Inbound ACL ドロップダウン リストから、IP ACL の名前を選択します。図17-2 の例では、 ext_acl_2 が選択されています。

ステップ 6 Outbound ACL ドロップダウン リストから、ACL の名前を選択します。


) Content Distribution Manager GUI から変更できるネットワーク インターフェイス プロパティは、Inbound IP ACL と Outbound IP ACL だけです。その他すべてのプロパティ値はデバイスのデータベースから取り込まれ、Content Distribution Manager GUI では読み取り専用です。


ステップ 7 この設定を保存するには、 Submit をクリックします。


 

CLI から IP ACL をインターフェイスに適用するには、次のインターフェイス コンフィギュレーション コマンドを使用します。

interface { FastEthernet | GigabitEthernet } slot/port ip access-group { accesslistnumber | accesslistname } { in | out }

IP ACL の削除

ネットワーク インターフェイスとアプリケーションのすべての条件と関連付けを含めて、IP ACL を削除できます。または IP ACL 条件のみを削除することもできます。すべての条件を削除すると、必要に応じて IP ACL タイプを変更できます。IP ACL エントリは、IP ACL リストに引き続き表示されますが、実際には存在しません。

IP ACLを削除する手順は、次のとおりです。


ステップ 1 Content Distribution Manager GUI から、 Devices > Devices の順に選択します。

ステップ 2 削除する IP ACL が設定されているデバイスの名前の横にある Edit アイコンをクリックします。

ステップ 3 Contents ペインから、 General Settings > Network > IP ACL の順に選択しますIP ACL for Content Engine ウィンドウが表示されます。

ステップ 4 削除する IP ACL の名前の横にある Edit アイコンをクリックします。Modifying IP ACL ウィンドウが表示されます。IP ACL の条件を作成済みの場合は、次の 2 通りの削除オプションがあります。

Delete ACL

このオプションは、ネットワーク インターフェイスとアプリケーション内のすべての条件と関連付けを含めて、IP ACL を削除します。

Delete All Conditions

このオプションは、すべての条件を削除しますが、IP ACL 名は保存されます。

ステップ 5 IP ACL 全体を削除するには、タスクバー内の大きい Trash(Delete ACL) アイコンをクリックします。削除を確認するメッセージが表示されます。 OK をクリックします。レコードが削除されます。

ステップ 6 条件のみを削除するには、タスクバー内の小さい Delete All Conditions Trash/List アイコンをクリックします。削除を確認するメッセージが表示されます。 OK をクリックします。ウィンドウが更新され、条件が削除されて ACL Type フィールドが使用できるようになります。