Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
IP ACL の設定
IP ACL の設定
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

IP ACL の設定

ACL の概要

ACL のタイプとアプリケーション

ACL の適用順序

ルールについて

送信元と宛先

プロトコル

暗黙ルール

追加のフィルタリング オプション

論理演算子と論理演算ユニット

ロギング

時間範囲

統計情報

バーチャライゼーション サポート

IP ACL のライセンス要件

IP ACL の前提条件

注意事項および制約事項

IP ACL の設定

IP ACL の作成

IP ACL の変更

IP ACL の削除

IP ACL の物理ポートへの適用

IP ACL のポート チャネルへの適用

VACL としての IP ACL の適用

IP ACL 統計情報の表示

IPv4 ACL のフィールドの説明

IPv4 ACL:Details タブ

IPv4 Access Rule:Details タブ

IPv4 Access Rule:Details:Source and Destination セクション

IPv4 Access Rule:Details:Protocol and Others セクション

IPv4 Access Rule:Details:Advanced セクション

IPv4 ACL Remark:Remark Details タブ

時間範囲の設定

時間範囲の作成

時間範囲の変更

時間範囲の削除

時間範囲のフィールドの説明

その他の参考資料

関連資料

規格

IP ACL の設定

この章では、NX-OS デバイスの IP Access Control List(ACL; アクセス コントロール リスト)の設定方法を説明します。


) 特に指定がなければ、IP ACL は IPv4 ACL を意味しています。


この章の内容は次のとおりです。

「ACL の概要」

「IP ACL のライセンス要件」

「IP ACL の前提条件」

「注意事項および制約事項」

「IP ACL の設定」

「IP ACL 統計情報の表示」

「IPv4 ACL のフィールドの説明」

「時間範囲の設定」

「時間範囲のフィールドの説明」

「その他の参考資料」

ACL の概要

ACL は、トラフィックのフィルタリングに使用するルールを順序化したリストです。ルールには、パケットがルールと一致するために必須な条件セットを指定します。デバイスは、ある ACL がパケットに適用されると判断すると、そのすべてのルールの条件にパケットを照合し、テストします。最初に一致したルールによって、そのパケットを許可するか拒否するかが決まります。一致するものがなければ、デバイスは適用可能なデフォルトのルールを適用します。デバイスは、許可されたパケットの処理を続行し、拒否されたパケットはドロップします。詳細については、「暗黙ルール」を参照してください。

ACL を使用することにより、ネットワークおよび特定のホストを不必要なトラフィックまたは望ましくないトラフィックから保護することができます。たとえば、ACL を使用すれば、高セキュリティ ネットワークからインターネットへの HTTP トラフィックを禁止できます。また、ACL を使用し、特定サイトへの HTTP トラフィックだけを許可することもできます。その場合、IP ACL 内で目的のサイトを識別するために、そのサイトの IP アドレスを使用します。

ここでは、次の内容について説明します。

「ACL のタイプとアプリケーション」

「ACL の適用順序」

「ルールについて」

「時間範囲」

「統計情報」

「バーチャライゼーション サポート」

ACL のタイプとアプリケーション

セキュリティ トラフィック フィルタリングには次のタイプの ACL を使用できます。

IPv4 ACL ― IPv4 トラフィックのみに適用されます。

Media Access Control(MAC; メディア アクセス制御)ACL ― IP 以外のトラフィックのみに適用されます。詳細については、「MAC ACL の概要」を参照してください。

IPv4 ACL および MAC ACL には次の 3 つのアプリケーション タイプがあります。

ポート ACL ― レイヤ 2 トラフィックをフィルタリングします。

ルータ ACL ― レイヤ 3 トラフィックをフィルタリングします。

VLAN ACL ― VLAN トラフィックをフィルタリングします。

表7-1 に、セキュリティ ACL のアプリケーションの概要を示します。

 

表7-1 セキュリティ ACL のアプリケーション

説明
サポートされるインターフェイス
サポートされる ACL タイプ

ポート ACL

レイヤ 2 インターフェイス

レイヤ 2 イーサネット ポート チャネル インターフェイス

ポート ACL がトランク ポートに適用される場合、その ACL によってトランク ポートのすべての VLAN 上のトラフィックがフィルタリングされます。

IPv4 ACL

MAC ACL

ルータ ACL

VLAN インターフェイス(Switch Virtual Interface[SVI; スイッチ仮想インターフェイス]とも言う)

物理レイヤ 3 インターフェイス

レイヤ 3 イーサネット サブインターフェイス

レイヤ 3 イーサネット ポート チャネル インターフェイス

レイヤ 3 イーサネット ポート チャネル サブインターフェイス

トンネル

管理インターフェイス

IPv4 ACL


) MAC ACL はレイヤ 3 インターフェイスではサポートされません。


VLAN ACL

VLAN

VLAN ACL についての詳細は、 第 9 章「VLAN ACL の設定」 を参照してください。

IPv4 ACL

MAC ACL

ACL の適用順序

デバイスは、パケットを処理する際に、そのパケットの転送パスを決定します。デバイスがトラフィックに適用する ACL はパスによって決まります。デバイスは、次の順序で ACL を適用します。

1. ポート ACL

2. 入力 VACL

3. 入力ルータ ACL

4. 出力ルータ ACL

5. 出力 VACL

パケットが入力 VLAN 内でブリッジされる場合、ルータ ACL は適用されません。図7-1 に、デバイスが ACL を適用する順序を示します。

図7-1 ACL の適用順序

 

図7-2 は、各 ACL の適用場所を示しています。赤いパスは送信元とは異なるインターフェイス上の宛先に送信されるパケットを表しています。青いパスは同じ VLAN 内でブリッジされるパケットを表しています。

デバイスは適用可能な ACL だけを適用します。たとえば、入力ポートがレイヤ 2 ポートの場合、VLAN インターフェイスである VLAN 上のトラフィックには、ポート ACL とルータ ACL が両方とも適用される可能性があります。さらに、その VLAN に VACL が適用される場合、デバイスは その VACL も適用します。

図7-2 ACL とパケット フロー

 

ルールについて

ACL にルールを作成できます。デバイスは許可ルール内の基準と一致するトラフィックを許可し、拒否ルール内の基準と一致するトラフィックをブロックします。トラフィックと照合するルールの基準は、さまざまなオプションを使用して設定します。


) ここでは、ルールを設定する際に使用できるオプションをいくつか紹介します。


ここでは、次の内容について説明します。

「送信元と宛先」

「プロトコル」

「暗黙ルール」

「追加のフィルタリング オプション」

「論理演算子と論理演算ユニット」

「ロギング」

送信元と宛先

各ルールでは、そのルールと一致するトラフィックの送信元および宛先を指定します。送信元と宛先は、特定のホスト、ネットワークまたはホスト グループ、あるいは任意のホストとして指定できます。送信元と宛先の指定方法は、IPv4 ACL と MAC ACL のどちらを設定するのかによって異なります。

プロトコル

IPv4 ACL および MAC ACL では、トラフィックをプロトコルで識別できます。便宜上、プロトコルを名前で指定することもできます。たとえば、IPv4 ACL では、ICMP を名前で指定できます。

プロトコルはどれも番号で指定できます。MAC ACL では、プロトコルをそのプロトコルの Ethertype 番号(16 進数)で指定できます。たとえば、MAC ACL ルールの IP トラフィックの指定に 0x0800 を使用できます。

IPv4 ACL では、インターネット プロトコル番号を表す整数でプロトコルを指定できます。たとえば、Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)のトラフィックを 115 として指定できます。

暗黙ルール

IP ACL および MAC ACL には暗黙ルールがあります。暗黙ルールは、実行コンフィギュレーションには設定されていませんが、ACL 内の他のルールと一致しない場合にデバイスがトラフィックに適用するルールです。

すべての IPv4 ACL には、次の暗黙ルールがあります。

deny ip any any
 

この暗黙ルールによって、デバイスは不一致 IP トラフィックを確実に拒否します。

すべての MAC ACL には、次の暗黙ルールがあります。

deny any any protocol
 

この暗黙ルールによって、デバイスは、トラフィックのレイヤ 2 ヘッダーに指定されているプロトコルに関係なく、不一致トラフィックを確実に拒否します。

追加のフィルタリング オプション

追加オプションを使用してトラフィックを識別することもできます。これらのオプションは、ACL のタイプによって異なります。以下のリストには、ほとんどの追加フィルタリング オプションが含まれていますが、すべてを網羅しているわけではありません。

IPv4 ACL は、次の追加フィルタリング オプションをサポートしています。

レイヤ 4 プロトコル

TCP ポートおよび UDP ポート

ICMP のタイプとコード

IGMP タイプ

Precedence レベル

Differentiated Services Code Point(DSCP; DiffServ コード ポイント)値

ACK、FIN、PSH、RST、SYN、または URG のビット セットを持つ TCP パケット

確立済みの TCP 接続

MAC ACL は、次の追加フィルタリング オプションをサポートしています。

レイヤ 3 プロトコル

VLAN ID

Class of Service(CoS; サービス クラス)

論理演算子と論理演算ユニット

TCP トラフィックおよび UDP トラフィックの IP ACL ルールでは、ポート番号に基づいたトラフィック フィルタリングに論理演算子を使用できます。このデバイスは、Logical Operator Unit(LOU; 論理演算ユニット)というレジスタに、演算子とオペランドの組み合わせを格納します。Cisco Nexus 7000 シリーズ デバイスは 104 の LOU をサポートしています。

各タイプの演算子は、次のように LOU を使用します。

eq ― LOU には格納されません。

gt ― 1/2 LOU を使用します。

Lt ― 1/2 LOU を使用します。

Neq ― 1/2 LOU を使用します。

range ― 1 LOU を使用します。

デバイスは、次の場合に演算子とオペランドの組み合わせを LOU に格納します。

演算子とオペランドのどちらかが、他のルールで使用されている演算子/オペランドの組み合わせとは異なっている場合、その組み合わせが LOU に格納されます。

たとえば、演算子/オペランドの組み合わせ、「gt 10」と「gt 11」は、LOU の半分に別々に格納されます。組み合わせ「gt 10」と「lt 10」も、別々に格納されます。

演算子/オペランドの組み合わせがルール内の送信元ポートに適用されるか、宛先ポートに適用されるかによって 使用される LOU は変わってきます。同一の組み合わせでも、一方が送信元ポートに適用され、もう一方が宛先ポートに適用される場合は、別々に格納されます。

たとえば、あるルールで演算子/オペランドの組み合わせ「gt 10」が送信元ポートに適用され、別のルールで「gt 10」が宛先ポートに適用される場合、それぞれが LOU の半分に格納されるので、LOU 全体が1 つ使用されることになります。ほかに「gt 10」を使用するルールがあっても、これ以上 LOU は使用されません。

ロギング

ルールに一致するパケットに関する情報ログ メッセージの作成をイネーブルにできます。ログ メッセージには、パケットについての次の情報が含まれます。

プロトコル

TCP、UDP、または ICMP のいずれのパケットか、あるいは、番号が付けられただけのパケットか

送信元と宛先のアドレス

送信元と宛先のポート番号(該当する場合)

時間範囲

時間範囲を使用して、ACL ルールが有効になる時期を制御できます。たとえば、インターフェイスに着信するトラフィックに特定の ACL を適用するとデバイスが判断し、その ACL のあるルールの時間範囲が有効になっていない場合、デバイスは、トラフィックをそのルールと照合しません。デバイスは、そのデバイスのクロックに基づいて時間範囲を評価します。

時間範囲を使用する ACL を適用すると、デバイスはその ACL で参照される時間範囲の開始時または終了時に影響する I/O モジュールをアップデートします。時間範囲によって開始されるアップデートはベストエフォート型のプライオリティで実行されます。時間範囲によってアップデートが生じたときにデバイスの処理負荷が非常に高い場合、デバイスはアップデートを最大数秒間遅らせることがあります。

IPv4 および MAC ACLは、時間範囲をサポートします。デバイスがトラフィックに ACL を適用する場合、有効なルールは次のとおりです。

時間範囲が指定されていないすべてのルール

デバイスがその ACL をトラフィックに適用した時点(秒)が時間範囲に含まれているルール

名前が付けられた時間範囲は再利用できます。多くの ACL ルールを設定する場合は、時間範囲を名前で 1 度設定すればすみます。時間範囲の名前は最大 64 の英文字で指定します。

時間範囲には、1 つまたは複数のルールで構成されます。これらのルールは次の 2 種類に分類できます。

絶対ルール ― 特定の開始日時、終了日時、その両方を持つルール、またはそのどちらも持たないルール。絶対時間範囲のルールがアクティブかどうかは、開始日時または終了日時の有無によって、次のように決まります。

開始日時と終了日時が両方指定されている ― この時間範囲ルールは、現在の時刻が開始日時よりあとで終了日時より前の場合にアクティブになります。

開始日時が指定され、終了日時は指定されていない ― この時間範囲ルールは、現在の時刻が開始日時よりもあとである場合にアクティブになります。

開始日時は指定されず、終了日時が指定されている ― この時間範囲ルールは、現在の時刻が終了日時よりも前である場合にアクティブになります。

開始日時も終了日時も指定されていない ― この時間範囲ルールは常にアクティブです。

たとえば、新しいサブネットへのアクセスを許可するようにネットワークを設定する場合、そのサブネットをオンラインにする予定日の真夜中からアクセスを許可するような時間範囲を指定し、この時間範囲を そのサブネットに適用する ACL ルールに使用します。デバイスはこのルールを含む ACL を適用する場合、開始日時が過ぎると、この時間範囲を使用するルールの適用を自動的に開始します。

定期ルール ― 毎週 1 回以上アクティブになるルール。たとえば、定期時間範囲を使用すると、平日の営業時間中だけ、研究室のサブネットにアクセスできるようにすることができます。デバイスは、そのルールを含む ACL が適用されていて、時間範囲がアクティブな場合にだけ、この時間範囲を使用する ACL ルールを自動的に適用します。


) デバイスは、時間範囲内のルールの順序に関係なく、時間範囲がアクティブかどうかを判断します。


時間範囲には備考を含めることもできます。備考を使用すると、時間範囲にコメントを挿入できます。備考は、最大 100 の英文字で指定します。

デバイスは次の方法で時間範囲がアクティブかどうかを判断します。

時間範囲に絶対ルールが 1 つまたは複数含まれている ― 現在の時刻が 1 つまたは複数の絶対ルールの範囲内であれば、その時間範囲はアクティブです。

時間範囲に定期ルールが 1 つまたは複数含まれている ― 現在の時刻が 1 つまたは複数の定期ルールの範囲内であれば、その時間範囲はアクティブです。

時間範囲に絶対ルールと定期ルールが両方含まれている ― 現在の時刻が 1 つまたは複数の絶対ルールと 1 つ以上の定期ルールの範囲内にある場合に、その時間範囲はアクティブです。

時間範囲に絶対ルールと定期ルールが両方含まれている場合、定期ルールがアクティブになるのは、最低 1 つの絶対ルールがアクティブな場合だけです。

統計情報

このデバイスは IPv4 ACL および MAC ACL の各ルールのグローバル統計を維持できます。1 つの ACL が複数のインターフェイスに適用される場合、ルール統計には、その ACL が適用されるすべてのインターフェイスと一致する(ヒットする)パケットの合計数が維持されます。


) インターフェイスレベルの ACL 統計はサポートされていません。


設定する ACL ごとに、その ACL の統計情報をデバイスが維持するかどうかを指定できます。これにより、ACL によるトラフィック フィルタリングが必要かどうかに応じて ACL 統計のオン、オフを指定できます。また、ACL 設定のトラブルシューティングにも役立ちます。

IP ACL 統計の表示については、「IP ACL 統計情報の表示」 を参照してください。MAC ACL 統計の表示については、「MAC ACL の統計情報の表示」 を参照してください。

バーチャライゼーション サポート

Virtual Device Context(VDC; バーチャル デバイス コンテキスト)では、IP ACL および MAC ACL に次の事項が適用されます。

ACL は各 VDC に固有です。ある VDC に作成した ACL を別の VDC に使用することはできません。

ACL が複数の VDC に共有されることはないので、ACL 名は他の VDC に再利用できます。

デバイスは、ACL やルールを VDC 単位では制限しません。

IP ACL のライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

IP ACLにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco DCNM にバンドルされており、料金なしで利用できます。DCNM のライセンス スキームに関する詳細は、『 Cisco DCNM Licensing Guide 』を参照してください。

NX-OS

IP ACLにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。

IP ACL の前提条件

IP ACL の前提条件は次のとおりです。

IP ACL を設定するためには、IP アドレッシングおよびプロトコルに関する知識が必要です。

ACL を設定するインターフェイス タイプについての知識が必要です。

注意事項および制約事項

IP ACL の設定に関する注意事項と制約事項は次のとおりです。

ほとんどの場合、IP パケットの ACL 処理は、I/O モジュール上で実行されます。場合によっては、スーパーバイザ モジュールで処理が実行されることもあります。この場合、I/O モジュールでの処理よりも速度が遅くなります。パケットがスーパーバイザ モジュールで処理されるのは、次の場合です。

管理インターフェイス トラフィックが常にスーパーバイザ モジュールで処理される場合

レイヤ 3 インターフェイスに多数のルールで構成される出力 ACL が適用されている場合、そのインターフェイスを出る IP パケットは、スーパーバイザ モジュールに送信されることがあります。

時間範囲を使用する ACL を適用すると、デバイスはその ACL で参照される時間範囲の開始時または終了時に、影響する I/O モジュールをアップデートします。時間範囲によって開始されるアップデートはベストエフォート型のプライオリティで実行されます。時間範囲によってアップデートが生じたときにデバイスの処理負荷が非常に高い場合、デバイスはアップデートを最大数秒間遅らせることがあります。

IP ACL を VLAN インターフェイスに適用するためには、VLAN インターフェイスをグローバルにイネーブル化する必要があります。VLAN インターフェイスの詳細については、『 Cisco DCNM Interfaces Configuration Guide 』を参照してください。

IP ACL の設定

図7-3 に、IPv4 ACL コンテンツ ペインを示します。

図7-3 IPv4 ACL コンテンツ ペイン

 

ここでは、次の内容について説明します。

「IP ACL の作成」

「IP ACL の変更」

「IP ACL の削除」

「IP ACL の物理ポートへの適用」

「IP ACL のポート チャネルへの適用」

「VACL としての IP ACL の適用」

IP ACL の作成

デバイスに IPv4 ACL を作成し、これにルールを追加できます。

詳細な手順

デバイスで IP ACL を作成するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Access Control > IPv4 ACL の順に選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、ACL を追加するデバイスをダブルクリックします。

ステップ 3 メニュー バーから、 File > New > IPv4 ACL の順に選択します。

新しい行が Summary ペインに表示されます。Details タブが Details ペインに表示されます。

ステップ 4 Details タブの Name フィールドに ACL の名前を入力します。

ステップ 5 (任意)この MAC ACL でのルールのグローバル統計をデバイスに維持したい場合は、 Statistics をチェックします。

ステップ 6 ACL に追加する各ルールに対して、メニュー バーから File > New の順に選択してからルールのタイプを選択します。Details タブで必要に応じてフィールドを設定します。

ステップ 7 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

IP ACL の変更

既存の IPv4 ACL のルールを変更、順番の変更、追加、削除できます。

詳細な手順

IP ACL を変更するには、次の作業を行います。


ステップ 1 Feature Selector ペインで、 Security > Access Control > IPv4 ACL の順に選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、変更したい ACL を持つデバイスをダブルクリックし、次に ACL をダブルクリックします。

デバイス上の ACL とダブルクリックした ACL のルールが Summary ペインに表示されます。

ステップ 3 (任意)この IP ACL にデバイスがルールのグローバル統計を維持するかどうかを変更するには、Summary ペインで ACL をクリックします。詳細タブで、必要に応じて Statistics をチェックまたはチェック解除します。

ステップ 4 (任意)ルールの詳細を変更したい場合は、Summary ペインでルールをクリックします。Details タブで必要に応じてフィールドを設定します。

ステップ 5 (任意)ルールを追加したい場合は、Summary ペインの ACL をクリックし、次にメニュー バーで File > New の順に選択し、さらにルールのタイプを選択します。Details タブで必要に応じてフィールドを設定します。

ステップ 6 (任意)ルールを削除したい場合は、ルールをクリックしてからメニュー バーで IPv4 ACL > Delete の順に選択します。

ステップ 7 (任意)ルールを ACL 内の別の位置に移動したい場合は、Summary ペインでルールをクリックし、メニュー バーで使用可能な次のいずれかを選択します。

IPv4 ACL > Move Up

IPv4 ACL > Move Down

ルールは選択内容に従って上または下に移動します。ルールのシーケンス番号は、移動に合わせて調整されます。

ステップ 8 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

IP ACL の削除

IP ACL をデバイスから削除できます。

作業を開始する前に

その ACL がインターフェイスに適用されているかどうかを確認します。削除できるのは、現在 適用されている ACL です。ACL を削除しても、その ACL が適用されているインターフェイスの設定には影響しません。デバイスは削除された ACL を空であるとみなします。

詳細な手順

IP ACL をデバイスから削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインで Security > Access Control > IPv4 ACL の順に選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、ACL を削除したいデバイスをダブルクリックします。

現在デバイスにある ACL が Summary ペインに表示されます。

ステップ 3 削除する ACL をクリックします。

ステップ 4 メニュー バーで IPv4 ACL > Delete の順に選択します。

Summary ペインにその ACL が表示されなくなります。

ステップ 5 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

IP ACL の物理ポートへの適用

ポート モードが次のいずれかに設定されているとき、IPv4 ACL を物理イーサネット ポートに適用できます。

アクセス

PVLAN ホスト

PVLAN 混合

ルーテッド

ポート モードがトランクに設定されているときは、IPv4 ACL をポートに適用できません。

DCNM では、IP ACL を一方向に適用できます。つまり、物理イーサネット ポート上の着信トラフィックおよび発信トラフィックに別個の ACL を指定できます。

作業を開始する前に

適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。詳細については、「IP ACL の作成」または「IP ACL の変更」を参照してください。

詳細な手順

IP ACL を物理イーサネット ポートに適用するには、次の作業を行います。


ステップ 1 Feature Selector ペインで、 Interfaces > Physical > Ethernet の順に選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、該当するデバイスをダブルクリックし、次にポートを含むスロットをダブルクリックします。

ダブルクリックしたスロットのポートが Summary ペインに表示されます。

ステップ 3 IP ACL の適用先にするポートをクリックします。

クリックしたポートの設定が Details ペインに表示されます。

ステップ 4 Details ペインで Details タブをクリックし、必要であれば Advanced Settings セクションを展開します。

次のドロップダウン リストが Advanced Settings セクションに表示されます。

着信 Ipv4 トラフィック

発信 Ipv4 トラフィック

ステップ 5 各 ACL および ACL を適用するトラフィック方向に対して、該当するドロップダウン リストから適用する ACL を選択します。

ステップ 6 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

IP ACL のポート チャネルへの適用

IPv4 ACL をイーサネット ポート チャネルに適用できます。

DCNM では、IP ACL を一方向に適用できます。イーサネット ポート チャネル上の着信トラフィックおよび発信トラフィックに別個の ACL を指定できます。

作業を開始する前に

適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。詳細については、「IP ACL の作成」または「IP ACL の変更」を参照してください。

詳細な手順

IP ACL をイーサネット ポート チャネルに適用するには、次の作業を行います。


ステップ 1 Feature Selector ペインで、 Ports > Logical > Port Channel の順に選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで該当するデバイスをダブルクリックします。

ダブルクリックしたデバイス上のポート チャネルが Summary ペインに表示されます。

ステップ 3 IP ACL の適用先にするポート チャネルをクリックします。

ポート チャネルに関する設定が Details ペインに表示されます。

ステップ 4 Details ペインで Port Channel Advanced Settings タブをクリックし、必要に応じて Advanced Settings セクションを展開します。

Advanced Settings セクションでは、IPv4 ACL 領域に着信トラフィック ドロップダウン リストと発信トラフィック ドロップダウン リストが含まれます。

ステップ 5 各 ACL と ACL に適用するトラフィックの方向に対して、該当するドロップダウン リストから適用したい ACL を選択します。

ステップ 6 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

VACL としての IP ACL の適用

IP ACL は VACL として適用できます。IPv4 ACL を使用した VACL の作成方法については、「VACL の作成または変更」を参照してください。

IP ACL 統計情報の表示

統計情報タブには次のウィンドウが表示されます。

アクセス ルール統計情報チャート ― 選択した IP ACL ルールに一致するパケット数に関する情報。

この機能の統計情報の収集についての詳細は、『 Cisco DCNM Fundamentals Configuration Guide 』を参照してください。

IPv4 ACL のフィールドの説明

ここでは、次の内容について説明します。

「IPv4 ACL:Details タブ」

「IPv4 Access Rule:Details タブ」

「IPv4 Access Rule:Details:Source and Destination セクション」

「IPv4 Access Rule:Details:Protocol and Others セクション」

「IPv4 Access Rule:Details:Advanced セクション」

「IPv4 ACL Remark:Remark Details タブ」

IPv4 ACL:Details タブ

 

表7-2 IPv4 ACL:Details タブ

フィールド
説明

Name

IPv4 ACL の名前。最大 64 文字までの英数字を設定できますが、アルファベットで始まっている必要があります。デフォルトでは名前が割り当てられていません。

Statistics

デバイスが ACL によってフィルタリングされたトラフィックに関する統計情報をログに記録するかどうか。デフォルトでは、このチェック ボックスにチェックは付いていません。

IPv4 Access Rule:Details タブ

 

表7-3 IPv4 Access Rule:Details タブ

フィールド
説明

Sequence Number

表示専用。 ルールに割り当てられたシーケンス番号。

Action

ルールがパケットに適用されると判断したときに、デバイスが起こすアクション。有効な値は次のとおりです。

Deny ― パケットの処理を停止して、そのパケットをドロップします。これがデフォルト値です。

Permit ― パケットの処理を続行します。

IPv4 Access Rule:Details:Source and Destination セクション

 

表7-4 IPv4 Access Rule:Details:Source and Destination セクション

フィールド
説明

Source

送信元のタイプ。有効な値は次のとおりです。

Any ― ルールは任意の IPv4 送信元からのパケットを照合します。これがデフォルト値です。Any を選択した場合、このリストの下にあるIP Address フィールドおよび Wildcard Mask フィールドは、いずれも指定する必要がないため、使用不可になっています。

Host ― ルールは特定の IPv4 アドレスからのパケットを照合します。Host を選択した場合、このリストの下にあるIP Address フィールドは使用可能ですが、Wildcard Mask フィールドは、引き続き使用不可になっています。

Network ― ルールは IPv4 ネットワークからのパケットを照合します。Network を選択した場合、このリストの下にあるIP Address フィールドおよび Wildcard Mask フィールドは、いずれも使用可能になっています。

IP Address (Source)

ホストまたはネットワークの IPv4 アドレス。有効なアドレスは、ドット付き 10 進表記です。このフィールドは、送信元ドロップダウン リストで Host または Network を選択したときに使用可能です。このフィールドは、デフォルトでは使用不可になっています。

Wildcard Mask (Source)

IPv4 ネットワークのワイルドカード マスク。有効なマスクは、ドット付き 10 進表記です。たとえば、IP Address フィールドで 192.168.0.0 を指定した場合、このフィールドには 0.0.255.255 と入力します。このフィールドは、送信元ドロップダウン リストで Network を選択したときに使用可能です。このフィールドは、デフォルトでは使用不可になっています。

Destination

宛先のタイプ。有効な値は次のとおりです。

Any ― ルールは任意の IPv4 送信元へのパケットを照合します。これがデフォルト値です。Any を選択した場合、このリストの下にあるIP Address フィールドおよび Wildcard Mask フィールドは、いずれも指定する必要がないため、使用不可になっています。

Host ― ルールは特定の IPv4 アドレスへのパケットを照合します。Host を選択した場合、このリストの下にあるIP Address フィールドは使用可能ですが、Wildcard Mask フィールドは、引き続き使用不可になっています。

Network ― ルールは IPv4 ネットワークへのパケットを照合します。Network を選択した場合、このリストの下にあるIP Address フィールドおよび Wildcard Mask フィールドは、いずれも使用可能になっています。

IP Address(Destination)

ホストまたはネットワークの IPv4 アドレス。有効なアドレスは、ドット付き 10 進表記です。このフィールドは、宛先ドロップダウン リストで Host または Network を選択したときに使用可能です。このフィールドは、デフォルトでは使用不可になっています。

Wildcard Mask (Destination)

IPv4 ネットワークのワイルドカード マスク。有効なマスクは、ドット付き 10 進表記です。たとえば、IP Address フィールドで 192.168.0.0 を指定した場合、このフィールドには 0.0.255.255 と入力します。このフィールドは、宛先ドロップダウン リストで Network を選択したときに使用可能です。このフィールドは、デフォルトでは使用不可になっています。

IPv4 Access Rule:Details:Protocol and Others セクション

 

表7-5 IPv4 Access Rule:Details:Protocol and Others セクション

フィールド
説明
All Access Rules

プロトコル

表示専用 。アクセス ルールのプロトコル。可能な値は次のとおりです。

IP

TCP

UDP

ICMP

IGMP

時間範囲

アクセス ルールに適用されるネームド時間範囲。そのルールを常に有効にしておきたい場合は、時間範囲を指定しないでください。このフィールドは、デフォルトではブランクになっています。

Log this entry

デバイスが、アクセス ルールが適用されたトラフィックに関する統計情報をログに記録するかどうか。デフォルトでは、このチェック ボックスにチェックは付いていません。

IP Access Rule

IP Protocol

アクセス ルールを適用するトラフィックのタイプ。デフォルト値は Ip で、すべての IP プロトコルに適用されます。well-known プロトコルを指定するには、プロトコル名を選択します。リストはプロトコル番号順になっています。割り当て済みインターネット プロトコル番号の IANA リストについては、
http://www.iana.org/assignments/protocol-numbers を参照してください。

TCP および UDP アクセス ルール

Source Port

デバイスが、アクセス ルールが適用される送信元ポートまたは送信元ポートの範囲。デフォルトでは、送信元ポートは割り当てられていません。

左のリストは、パケットの送信元ポートとアクセス ルールで指定されているポート(複数可)を比較するときに、デバイスが使用するオペレータを指定します。

右のフィールドは、ドロップダウン リストまたはテキスト フィールドのペアのいずれかです。オペレータが Range ではない場合、ドロップダウン リストで well-known ポートを名前で指定できます。

オペレータが Range の場合、テキスト フィールドに範囲の始めのポート番号と終わりのポート番号を入力できます。いずれのテキスト フィールドでも、有効なポート番号は 0 ~ 65535 です。

ヒント 単一ポートを番号で指定する場合は、オペレータ ドロップダウン リストから Range を選択し、両方の送信元ポート フィールドにポート番号を入力します。

Destination

デバイスが、アクセス ルールが適用される宛先ポートまたは宛先ポートの範囲。デフォルトでは、送信元ポートは割り当てられていません。

左のリストは、パケットの宛先ポートとアクセス ルールで指定されているポート(複数可)を比較するときに、デバイスが使用するオペレータを指定します。

右のフィールドは、ドロップダウン リストまたはテキスト フィールドのペアのいずれかです。オペレータが Range ではない場合、ドロップダウン リストで well-known ポートを名前で指定できます。

オペレータが Range の場合、テキスト フィールドに範囲の始めのポート番号と終わりのポート番号を入力できます。いずれのテキスト フィールドでも、有効なポート番号は 0 ~ 65535 です。

ヒント 単一ポートを番号で指定する場合は、オペレータ ドロップダウン リストから Range を選択し、両方の送信元ポート フィールドにポート番号を入力します。
ICMP Access Rule

ICMP Message

ルールは、ドロップダウン リストで選択した ICMP メッセージに基づいてフィルタリングを行います。デフォルトでは、ラジオ ボタンが選択され、リストはブランクになっています。

ICMP Type

ルールは、ドロップダウン リストおよび ICMP Code フィールドで指定した値に基づいてフィルタリングを行います。デフォルトでは、ラジオ ボタンは選択されず、リストは使用不可になっています。

ICMP Code

ルールが ICMP トラフィックのフィルタリングに使用する ICMP メッセージ コード。このフィールドへの有効な入力は、ICMP Type ドロップダウン リストによって異なります。デフォルトでは、リストは使用不可になっています。

IGMP Access Rule

IGMP Message

ルールは、IGMP Message ドロップダウン リストで選択した IGMP メッセージに基づいてフィルタリングを行います。デフォルトでは、ラジオ ボタンが選択されています。リストのデフォルト値は 0(ゼロ)です。

IGMP Type

ルールは、IGMP メッセージ タイプに基づいてフィルタリングを行います。デフォルトでは、ラジオ ボタンは選択されず、リストは使用不可になっています。

IPv4 Access Rule:Details:Advanced セクション

 

表7-6 IPv4 Access Rule:Details:Advanced セクション

フィールド
説明
All Access Rules

DSCP

IP パケットにある DSCP ヘッダーの Differentiated Services(DiffServ; 差別化サービス)値。ルールは、一致する値を持つパケットのみに適用されます。デフォルトでは値が選択されていません。

Precedence

IP Precedence フィールドの値。ルールは、一致する値を持つパケットのみに適用されます。デフォルトでは値が選択されていません。

Fragments

頭文字のないフラグメントのパケットのみを照合できるルール。デフォルトでは、このチェック ボックスにチェックは付いていません。

TCP Access Rules

Established

エスタブリッシュド TCP 接続に属するパケットのみを照合できるルール。デバイスは、ACK または RST のビット セットを持つ TCP パケットが、エスタブリッシュド接続に属するとみなします。デフォルトでは、このチェック ボックスにチェックは付いていません。

Fin

FIN 制御ビット フラグ セットを持つ TCP パケットのみを照合できるルール。デフォルトでは、このチェック ボックスにチェックは付いていません。

Psh

PSH 制御ビット フラグ セットを持つ TCP パケットのみを照合できるルール。デフォルトでは、このチェック ボックスにチェックは付いていません。

Rst

RST 制御ビット フラグ セットを持つ TCP パケットのみを照合できるルール。デフォルトでは、このチェック ボックスにチェックは付いていません。

Syn

SYN 制御ビット フラグ セットを持つ TCP パケットのみを照合できるルール。デフォルトでは、このチェック ボックスにチェックは付いていません。

Urg

URG 制御ビット フラグ セットを持つ TCP パケットのみを照合できるルール。デフォルトでは、このチェック ボックスにチェックは付いていません。

Ack

ACK 制御ビット フラグ セットを持つ TCP パケットのみを照合できるルール。デフォルトでは、このチェック ボックスにチェックは付いていません。

IPv4 ACL Remark:Remark Details タブ

 

表7-7 IPv4 ACL Remark:Remark Details タブ

フィールド
説明

Sequence Number

表示専用 。備考に割り当てられたシーケンス番号。

Remark Description

備考テキストは、最大 100 の英文字で指定します。デフォルトでは、このフィールドは空白です。

時間範囲の設定

図7-4 に、時間範囲コンテンツ ペインを示します。

図7-4 時間範囲コンテンツ ペイン

 

ここでは、次の内容について説明します。

「時間範囲の作成」

「時間範囲の変更」

「時間範囲の削除」

時間範囲の作成

デバイス上で時間範囲を作成し、これにルールを追加できます。

詳細な手順

デバイスで時間範囲を作成するには、次の作業を行います。


ステップ 1 Feature Selector ペインで Security > Access Control > Time-range の順に選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、時間範囲を追加するデバイスをダブルクリックします。

現在デバイスに時間範囲があれば、Summary ペインに表示されます。

ステップ 3 メニュー バーから、 File > New > New Time-range の順に選択します。

ブランク行が Summary ペインに表示されます。

ステップ 4 その行に時間範囲の名前を入力します。

ステップ 5 時間範囲に追加する各ルールまたは備考に対して、メニュー バーから File > New の順に選択し、ルールまたは備考のタイプを選択します。Time Range Details タブで、必要に応じてフィールドを設定します。

ステップ 6 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

時間範囲の変更

既存の時間範囲のルールを変更、順番の変更、追加、削除できます。

詳細な手順

時間範囲を変更するには、次の作業を行います。


ステップ 1 Feature Selector ペインで Security > Access Control > Time-range の順に選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、変更したい時間範囲を持つデバイスをダブルクリックし、次に時間範囲をダブルクリックします。

デバイス上の時間範囲とダブルクリックした時間範囲のルールが、Summary ペインに表示されます。

ステップ 3 (任意)ルールの詳細を変更したい場合は、Summary ペインでルールをクリックします。Time Range Details タブで、必要に応じてフィールドを設定します。

ステップ 4 (任意)ルールを時間範囲内の別の位置に移動したい場合は、ルールをクリックし、メニュー バーで使用可能な次のいずれかを選択します。

Time Range > Move Up

Time Range > Move Down

ルールは選択内容に従って上または下に移動します。ルールのシーケンス番号は、移動に合わせて調整されます。

ステップ 5 (任意)ルールを追加したい場合は、概要ペインの時間範囲をクリックし、次にメニュー バーで File > New の順に選択し、さらにルールのタイプを選択します。Time Range Details タブで、必要に応じてフィールドを設定します。

ステップ 6 (任意)ルールを削除したい場合は、Summary ペインのルールをクリックしてからメニュー バーで Time Range > Delete の順に選択します。

ステップ 7 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

時間範囲の削除

デバイスから時間範囲を削除できます。

作業を開始する前に

その時間範囲がACL ルールのどれかに使用されているかどうかを確認します。削除できるのは、ACL ルールに使用されている時間範囲です。ACL ルールに使用されている時間範囲を削除しても、その ACL が適用されているインターフェイスの設定には影響しません。デバイスは削除された時間範囲を使用する ACL ルールを空であるとみなします。

詳細な手順

時間範囲を削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインで Security > Access Control > Time-range の順に選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、時間範囲を削除するデバイスをダブルクリックします。

現在デバイスにある時間範囲が Summary ペインに表示されます。

ステップ 3 Summary ペインで、削除する時間範囲をクリックします。

ステップ 4 メニュー バーで Time Range > Delete の順に選択します。

Summary ペインにその時間範囲が表示されなくなります。

ステップ 5 メニュー バーで File > Deploy の順に選択し、変更をデバイスに適用します。


 

時間範囲のフィールドの説明

表7-8 で、時間範囲ルールおよび備考のフィールドを説明します。

 

表7-8 Time Range Rule or Remark:Time Range Details タブ

フィールド
説明
すべての時間範囲ルールおよび備考

Seq No

表示専用 。ルールに割り当てられたシーケンス番号。

Remarks

説明

備考テキストは、最大 100 の英文字で指定します。デフォルトでは、このフィールドはブランクです。

絶対ルール
Date (Start)

絶対時間範囲がアクティブになる時刻および日付。デフォルトでは、このリストはブランクです。

開始日ドロップダウン リスト、終了日ドロップダウン リストのいずれかまたは両方を設定する必要があります。

Date (End)

絶対時間範囲が非アクティブになる時刻および日付。デフォルトでは、このリストはブランクです。

開始日ドロップダウン リスト、終了日ドロップダウン リストのいずれかまたは両方を設定する必要があります。

定期的ルール:
Days

定期的ルールがアクティブになる曜日。次のいずれかのラジオ ボタンを選択できます。

daily ― 毎週その曜日に範囲がアクティブになります。

weekdays ― 月曜日から金曜日までのみ範囲がアクティブになります。

weekend ― 土曜日と日曜日のみ範囲がアクティブになります。

Specific Days ― Days of the week チェックボックスで指定した日に範囲がアクティブになります。これがデフォルト値です。Day ドロップダウン リスト(End)は、このラジオ ボタンを選択し、Days of the week チェックボックスで 1 日のみを選択したときにだけ使用可能です。

Days of the week

定期的ルールがアクティブになる曜日。これらのチェックボックスは、Specific Days ラジオ ボタンが選択された場合だけ使用可能です。デフォルトでは、チェックボックスにチェックは付いていません。

Time (Start)

範囲がアクティブになる時刻。このスピン ボックスの時刻は、Time (End) スピン ボックスの時刻より前になっている必要があります。デフォルト値は 00:00:00 です。

Day

時間範囲が非アクティブになる日付。このドロップダウン リストは、Specific Days ラジオ ボタンを選択し、Days of the week の下のチェックボックスで 1 つだけにチェックが付いている場合にだけ使用可能です。デフォルトでは、このリストは使用不可です。

Time (End)

範囲が非アクティブになる時刻。このスピン ボックスの時刻は、Time (End) スピン ボックスの時刻より後になっている必要があります。デフォルト値は 00:00:00 です。

その他の参考資料

IP ACL の実装に関する詳細情報については、次を参照してください。

「関連資料」

「規格」

関連資料

関連事項
タイトル

VACL の概念

「VLAN ACL の概要」

規格

規格
タイトル

この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。

--