Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
VLAN ACL の設定
VLAN ACL の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

VLAN ACL の設定

VLAN ACL の概要

VACL とアクセス マップ

VACL と処理

バーチャライゼーション サポート

VACL のライセンス要件

VACL の前提条件

注意事項および制約事項

VACL の設定

VACL の作成または変更

VACL の削除

VLAN への VACL の適用

VACL のフィールドに関する説明

VLAN Access Map Entry:Details タブ

VLAN Access Map Entry:Details:Match Condition And Action セクション

その他の参考資料

関連資料

規格

VLAN ACL の設定

この章では、VLAN ACL(アクセス リスト)を設定する手順について説明します。

この章の内容は次のとおりです。

「VLAN ACL の概要」

「VACL のライセンス要件」

「VACL の前提条件」

「注意事項および制約事項」

「VACL の設定」

「VACL のフィールドに関する説明」

「その他の参考資料」

VLAN ACL の概要

VLAN ACL(VACL)は、Media Access Control(MAC; メディア アクセス制御)ACL または IP ACL のアプリケーションの 1 つです。VACL を設定し、VLAN との間でルーティングされるかまたは VLAN 内でブリッジングされるすべてのパケットに適用できます。VACL は、セキュリティ パケット フィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトのみを目的としたものです。VACL は方向(入力または出力)では定義されません。

ACL のタイプおよびアプリケーションについての詳細は、「ACL の概要」を参照してください。

ここでは、次の内容について説明します。

「VACL とアクセス マップ」

「VACL と処理」

「バーチャライゼーション サポート」

VACL とアクセス マップ

VACL は、アクセス マップを使用して、IP ACL または MAC ACL を処理とリンクします。デバイスは、VACL で許可されているパケットに対し、設定済みの処理を実行します。

VACL と処理

アクセス マップ コンフィギュレーション モードで action コマンドを使用し、次のいずれかの処理を指定します。

Forward ― スイッチの通常の動作で決定された宛先にトラフィックを送信します。

Redirect ― 1 つまたは複数の指定インターフェイスにトラフィックをリダイレクトします。

Drop ― トラフィックをドロップします。

処理を指定する際には、次の 2 つのオプションも指定できます。

Log ― パケットをログに記録します(「drop」処理を指定した場合にのみ使用可能)。

Send ― キャプチャ機能がイネーブルになっているインターフェイスに許可トラフィックを送信します。

バーチャライゼーション サポート

Virtual Device Context(VDC; バーチャル デバイス コンテキスト)で使用される VACL には次の事項が適用されます。

ACL は各 VDC に固有です。ある VDC に作成した ACL を別の VDC に使用することはできません。

ACL が複数の VDC に共有されることはないので、ACL 名は他の VDC に再利用できます。

デバイスは、ACL やルールを VDC 単位では制限しません。

VACL のライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

VACL にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco DCNM にバンドルされており、追加料金なしで利用できます。DCNM のライセンス スキームに関する詳細は、『 Cisco DCNM Licensing Guide 』を参照してください。

NX-OS

VACL にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。

VACL の前提条件

VACL の前提条件は次のとおりです。

VACL を設定するには、VLAN に関する知識が必要です。

「ACL の概要」に記載されている内容を理解している必要があります。

注意事項および制約事項

VACL の設定に関する注意事項と制約事項は次のとおりです。

ACL に関する詳細は、「ACL の概要」を参照してください。

VACL の設定

図9-1 は、VLAN ACL のコンテンツ ペインを示しています。

図9-1 VLAN ACL のコンテンツ ペイン

 

ここでは、次の内容について説明します。

「VACL の作成または変更」

「VACL の削除」

「VLAN への VACL の適用」

VACL の作成または変更

VACL の作成または変更を行うことができます。VACL の作成には、IP または MAC ACL を一致トラフィックに適用される処理と関連付けるアクセス マップの作成が含まれます。

作業を開始する前に

VACL に使用する IP ACL または MAC ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。IP ACL の設定に関する詳細は、「IP ACL の設定」を参照してください。MAC ACL の設定に関する詳細は、「MAC ACL の設定」を参照してください。

詳細な手順

VACL を作成または変更するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Access Control > VLAN ACL を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 VACL を作成するには、以下を実行します。

a. Summary ペインから、VACL を追加するデバイスをダブルクリックします。

b. メニューバーから、 File > New > VLAN Access Map を選択します。

Summary ペイン内で選択したデバイスの下に、新しい行が表示されます。

c. その新しい行に、VACL の名前を入力します。

この VACL は Summary ペイン内で選択された状態です。

d. メニューバーから、 File > New > VLAN Access Map Entry を選択します。

Summary ペイン内で、その VACL の下に新しい行が表示されます。

e. Details タブで、Name フィールドにその VACL の名前を入力します。

ステップ 3 VACL を変更するには、Summary ペインから、その VACL を含むデバイスをダブルクリックし、VACL をクリックします。

ステップ 4 Details ペインで Details タブをクリックし、必要に応じて Match Condition And Action セクションを展開表示します。

ステップ 5 Match ACL Type ドロップダウン リストから、VACL に使用する ACL のタイプを選択します。IPv4 ACL または MAC ACL を選択できます。

ACL ドロップダウン リストは、選択したタイプの ACL で、現在選択しているデバイス上に存在するものを含んでいます。

ステップ 6 ACL ドロップダウン リストから、使用する ACL を選択します。

ステップ 7 Action ドロップダウン リストから、VACL に一致するトラフィックに対してデバイスが実行すべき処理を選択します。

ステップ 8 (任意)VACL に一致するパケットをデバイスがログに記録するように設定する場合、 Capture のチェック ボックスをオンにします。

ステップ 9 メニューバーから、 File > Save を選択してデバイスに変更を適用します。


 

VACL の削除

VACL を削除できます。これにより、VLAN アクセス マップが削除されます。

作業を開始する前に

その VACL が VLAN に適用されているかどうかを確認します。削除できるのは、現在適用されている VACL です。VACL を削除しても、その VACL が適用されている VLAN の設定には影響しません。デバイスは削除された VACL を空であるとみなします。

詳細な手順

VACL を削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Access Control > VLAN ACL を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、VACL を削除するデバイスをダブルクリックします。

そのデバイス上の VACL が Summary ペインに表示されます。

ステップ 3 削除する VACL をクリックし、メニューバーから VLAN ACL > Delete を選択します。

その VACL が Summary ペインから削除されます。

ステップ 4 メニューバーから、 File > Save を選択してデバイスに変更を適用します。


 

VLAN への VACL の適用

VACL を VLAN に適用できます。

作業を開始する前に

VACL を適用する際には、その VACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。VACL の作成についての詳細は、「VACL の作成または変更」を参照してください。

VACL の適用を解除する際には、必ず正しい VACL の適用を解除するとともに、その VACL が現在どのように適用されているのかを十分に理解している必要があります。

詳細な手順

VACL を VLAN に適用するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > VLAN を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、適用するデバイスをダブルクリックします。

ダブルクリックしたデバイス上の VLAN が Summary ペインに表示されます。

ステップ 3 VACL を適用する VLAN をクリックします。

ステップ 4 Details ペインで VLAN Details タブをクリックし、必要に応じて Advanced Settings セクションを展開表示します。

Advanced Settings セクションに VACL ドロップダウン リストが表示されます。

ステップ 5 VACL ドロップダウン リストから、適用する VACL を選択します。

ステップ 6 メニューバーから、 File > Save を選択してデバイスに変更を適用します。


 

VACL のフィールドに関する説明

ここでは、VACL のフィールドについて説明します。

「VLAN Access Map Entry:Details タブ」

「VLAN Access Map Entry:Details:Match Condition And Action セクション」

VLAN Access Map Entry:Details タブ

 

表9-1 VLAN Access Map Entry:Details タブ

フィールド
説明

Sequence Number

表示のみ。 ルールに割り当てられたシーケンス番号。

VLAN Access Map Entry:Details:Match Condition And Action セクション

 

表9-2 VLAN Access Map Entry:Details:Match Condition And Action セクション

フィールド
説明

Match ACL Type

VLAN アクセス マップ エントリがトラフィックをフィルタリングする際に使用する ACL のタイプ。有効な値:

IPv4 ACL

MAC ACL

ACL

VLAN アクセス マップがトラフィックをフィルタリングする際に使用する ACL の名前。デフォルトでは、このリストはブランクです。

Action

パケットが VLAN アクセス マップ エントリに許可された場合にデバイスが実行する処理。有効な値:

Deny ― そのパケットの処理を停止し、ドロップします。

Forward ― 宛先を修正せずに、そのパケットの処理を継続します。これがデフォルト値です。

Redirect ― そのパケットの処理を継続しますが、送信先は、Redirect Interfaces ドロップダウン リストで選択したインターフェイスとなります。

Log this entry

VLAN アクセス マップ エントリによって許可されたパケットをデバイスがログに記録するかどうかの指定。このチェック ボックスは、Action ドロップダウン リストで Drop を選択したときにのみ表示されます。デフォルトでは、このチェック ボックスはオフです。

Capture

VLAN アクセス マップにより許可されたパケットに関して、キャプチャ機能がイネーブルであるポートへの転送もデバイスが実行するかどうかの指定。このチェック ボックスは、Action ドロップダウン リストで Forward を選択したときにのみ表示されます。デフォルトでは、このチェック ボックスはオフです。

Redirect Interfaces

VLAN アクセス マップ エントリによって許可されたパケットをデバイスが転送する送信先インターフェイス。このチェック ボックスは、Action ドロップダウン リストで Redirect を選択したときにのみ表示されます。デフォルトでは、このリストはブランクです。

その他の参考資料

VLAN ACL の実装に関する詳細情報については、次を参照してください。

「関連資料」

「規格」

関連資料

関連事項
タイトル

ACL の概念

「ACL の概要」

規格

規格
タイトル

この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。

--