Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
IP ACL の設定
IP ACL の設定
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

IP ACL の設定

この章では、Cisco NX-OS デバイスの IP アクセス コントロール リスト(ACL)を設定する方法について説明します。

特に指定がなければ、IP ACL は IPv4 および IPv6 の ACL を意味します。


(注)  


管理対象デバイス上で実行されている Cisco NX-OS リリースでは、説明するすべての機能または設定がサポートされない場合があります。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースのマニュアルとリリース ノートを参照してください。


この章は、次の内容で構成されています。

ACL について

ACL とは、トラフィックのフィルタリングに使用する順序付きのルール セットのことです。 各ルールには、パケットがルールに一致するために満たさなければならない条件のセットが規定されています。 デバイスは、ある ACL がパケットに適用されると判断すると、そのすべてのルールの条件にパケットを照合し、テストします。 最初に一致したルールで、そのパケットが許可されるか拒否されるかが決定されます。 一致するものがなければ、デバイスは適用可能な暗黙のルールを適用します。 デバイスは、許可されたパケットの処理を続行し、拒否されたパケットはドロップします。

ACL を使用すると、ネットワークおよび特定のホストを、不要なトラフィックや望ましくないトラフィックから保護できます。 たとえば、ACL を使用して、厳重にセキュリティ保護されたネットワークからインターネットに HyperText Transfer Protocol(HTTP; ハイパー テキスト トランスファ プロトコル)トラフィックが流入するのを禁止できます。 また、特定のサイトへの HTTP トラフィックだけを許可することもできます。その場合は、サイトの IP アドレスが、IP ACL に指定されているかどうかによって判定します。

ACL のタイプと適用

セキュリティ トラフィック フィルタリングには次のタイプの ACL を使用できます。

IPv4 ACL
IPv4 トラフィックだけに適用されます。
IPv6 ACL
IPv6 トラフィックだけに適用されます。
MAC ACL
デフォルトでは、IP 以外のトラフィックだけに適用されます。ただし、すべてのトラフィックに MAC ACL を提供するようにレイヤ 2 インターフェイスを設定できます。

IP ACL および MAC ACL には次のタイプの適用例があります。

ポート ACL
レイヤ 2 トラフィックのフィルタリング
ルータ ACL
レイヤ 3 トラフィックのフィルタリング
VLAN ACL
VLAN トラフィックのフィルタリング

次の表に、セキュリティ ACL の適用例の概要を示します。



表 1 セキュリティ ACL の適用

アプリケーション

サポートするインターフェイス

サポートする ACL のタイプ

ポート ACL

  • レイヤ 2 インターフェイス
  • レイヤ 2 イーサネット ポート チャネル インターフェイス

ポート ACL をトランク ポートに適用すると、その ACL は、当該トランク ポート上のすべての VLAN 上のトラフィックをフィルタリングします。

  • IPv4 ACL
  • IPv6 ACL
  • MAC ACL

ルータ ACL

  • VLAN インターフェイス
  • 物理層 3 インターフェイス
  • レイヤ 3 イーサネット サブインターフェイス
  • レイヤ 3 イーサネット ポート チャネル インターフェイス
  • レイヤ 3 イーサネット ポート チャネル サブインターフェイス
  • トンネル
  • 管理インターフェイス
  • IPv4 ACL
  • IPv6 ACL

VLAN ACL

  • VLAN
  • IPv4 ACL
  • IPv6 ACL
  • MAC ACL

ACL の適用順序

デバイスは、パケットを処理する際に、そのパケットの転送パスを決定します。 デバイスがトラフィックに適用する ACL はパスによって決まります。 デバイスは、次の順序で ACL を適用します。

  1. ポート ACL
  2. 入力 VACL
  3. 入力ルータ ACL
  4. 出力ルータ ACL
  5. 出力 VACL

パケットが入力 VLAN 内でブリッジされる場合、ルータ ACL は適用されません。

図 1. ACL の適用順序. 次の図に、デバイスが ACL を適用する順序を示します。

図 2. ACL とパケット フロー .

次の図に、ACL のタイプに応じた ACL の適用場所を示します。 赤いパスは送信元とは異なるインターフェイス上の宛先に送信されるパケットを表しています。 青いパスは同じ VLAN 内でブリッジされるパケットを表しています。

デバイスは適用可能な ACL だけを適用します。 たとえば、入力ポートがレイヤ 2 ポートの場合、VLAN インターフェイスである VLAN 上のトラフィックには、ポート ACL とルータ ACL が両方とも適用される可能性があります。 さらに、その VLAN に VACL が適用される場合、デバイスはその VACL も適用します。





ルールについて

ACL によるネットワーク トラフィックのフィルタリング方法を設定する際に、何を作成、変更、削除するかを決めるのがルールです。 ルールは実行コンフィギュレーション内に表示されます。 ACL をインターフェイスに適用するか、またはインターフェイスにすでに適用されている ACL 内のルールを変更すると、スーパーバイザ モジュールは実行コンフィギュレーション内のルールから ACL のエントリを作成し、それらの ACL エントリを適用可能な I/O モジュールに送信します。 ACL の設定によっては、ルールよりも ACL エントリの方が数が多くなることがあります。特に、ルールを設定するときにオブジェクト グループを使用してポリシーベース ACL を実装する場合などです。

ルールは ACL で作成できます。デバイスは許可ルール内の基準と一致するトラフィックを許可し、拒否ルール内の基準と一致するトラフィックをブロックします。 ルールに一致するためにトラフィックが満たさなければならない基準を設定するためのオプションが多数用意されています。

ここでは、ルールを設定する際に使用できるオプションをいくつか紹介します。

IP ACL のプロトコル

IPv4、IPv6、および MAC の ACL では、トラフィックをプロトコルで識別できます。 指定の際の手間を省くために、一部のプロトコルは名前で指定できます。 たとえば、IPv4 または IPv6 の ACL では、ICMP を名前で指定できます。

プロトコルはすべて番号で指定できます。 MAC ACL では、プロトコルをそのプロトコルの EtherType 番号(16 進数)で指定できます。 たとえば、MAC ACL ルールの IP トラフィックの指定に 0x0800 を使用できます。

IPv4 および IPv6 ACL では、インターネット プロトコル番号を表す整数でプロトコルを指定できます。たとえば、レイヤ 2 トンネリング プロトコル(L2TP)トラフィックを指定するには、115 を使用します。

送信元と宛先

各ルールには、ルールに一致するトラフィックの送信元と宛先を指定します。 指定する送信元および宛先には、特定のホスト、ホストのネットワークまたはグループ、あるいは任意のホストを使用できます。 送信元と宛先の指定方法は、IPv4、IPv6、または MAC のどの ACL を設定するのかによって異なります。

IP ACL および MAC ACL の暗黙ルール

IP ACL および MAC ACL には暗黙ルールがあります。暗黙ルールは、実行コンフィギュレーションには設定されていませんが、ACL 内の他のルールと一致しない場合にデバイスがトラフィックに適用するルールです。 ACL のルール単位の統計情報を維持するようにデバイスを設定した場合、暗黙ルールの統計情報はデバイスに維持されません。

すべての IPv4 ACL には、次の暗黙のルールがあります。

deny ip any any


この暗黙ルールによって、デバイスは不一致 IP トラフィックを確実に拒否します。

すべての IPv6 ACL には、次の暗黙ルールがあります。

permit icmp any any nd-na 
permit icmp any any nd-ns 
permit icmp any any router-advertisement 
permit icmp any any router-solicitation 
deny ipv6 any any

ICMPv6 のネイバー探索メッセージを拒否するルールを持つ IPv6 ACL を設定した場合を除き、最初の 4 つのルールによって、デバイスはネイバー探索アドバタイズメント メッセージと請求メッセージを許可するようになります。 5 つめのルールにより、デバイスは不一致の IPv6 トラフィックを拒否します。


(注)  


IPv6 の ACL に deny ipv6 any any というルールを明示的に設定すると、暗黙の permit ルールでトラフィックをまったく許可できなくなります。 deny ipv6 any any というルールを明示的に設定するものの、ICMPv6 ネイバー探索メッセージは許可したい場合は、5 つの暗黙の IPv6 ACL ルールをすべて明示的に設定します。


すべての MAC ACL には、次の暗黙のルールがあります。

deny any any protocol

この暗黙ルールによって、デバイスは、トラフィックのレイヤ 2 ヘッダーに指定されているプロトコルに関係なく、不一致トラフィックを確実に拒否します。

その他のフィルタリング オプション

追加のオプションを使用してトラフィックを識別できます。 これらのオプションは、ACL のタイプによって異なります。 次のリストには、ほとんどの追加フィルタリング オプションが含まれていますが、すべてを網羅しているわけではありません。

  • IPv4 ACL には、次の追加フィルタリング オプションが用意されています。
    • レイヤ 4 プロトコル
    • 認証ヘッダー プロトコル
    • Enhanced Interior Gateway Routing Protocol(EIGRP)
    • カプセル化セキュリティ ペイロード
    • General Routing Encapsulation(GRE; 総称ルーティング カプセル化)
    • KA9Q NOS 互換 IP over IP トンネリング
    • Open Shortest Path First(OSPF)
    • ペイロード圧縮プロトコル
    • プロトコル独立型マルチキャスト(PIM)
    • TCP/UDP ポート
    • ICMP タイプおよびコード
    • IGMP タイプ
    • 優先レベル
    • DiffServ コード ポイント(DSCP)値
    • ACK、FIN、PSH、RST、SYN、または URG ビットがセットされた TCP パケット
    • 確立済み TCP 接続
    • パケット長
  • IPv6 ACL では、次のフィルタリング オプションが追加されています。
    • レイヤ 4 プロトコル
    • 認証ヘッダー プロトコル
    • カプセル化セキュリティ ペイロード
    • ペイロード圧縮プロトコル
    • Stream Control Transmission Protocol(SCTP; ストリーム制御転送プロトコル)
    • SCTP、TCP、および UDP の各ポート
    • ICMP タイプおよびコード
    • IGMP タイプ
    • フロー ラベル
    • DSCP 値
    • ACK、FIN、PSH、RST、SYN、または URG ビットがセットされた TCP パケット
    • 確立済み TCP 接続
    • パケット長
  • MAC ACL は、次の追加フィルタリング オプションをサポートしています。
    • レイヤ 3 プロトコル
    • VLAN ID
    • サービス クラス(CoS)

論理演算子と論理演算ユニット

TCP および UDP トラフィックの IP ACL ルールでは、論理演算子を使用して、ポート番号に基づきトラフィックをフィルタリングできます。 このデバイスは、Logical Operator Unit(LOU; 論理演算ユニット)というレジスタに、演算子とオペランドの組み合わせを格納します。 Cisco Nexus 7000 シリーズ デバイスは 104 の LOU をサポートしています。

各タイプの演算子は、次のように LOU を使用します。

eq
LOU には格納されません。
gt
1/2 LOU を使用します。
lt
1/2 LOU を使用します。
neq
1/2 LOU を使用します。
range
1 LOU を使用します。

デバイスは、次の場合に演算子とオペランドの組み合わせを LOU に格納します。

  • 演算子またはオペランドが、他のルールで使用されている演算子とオペランドの組み合わせと異なる場合、この組み合わせは LOU に格納されます。 たとえば、演算子とオペランドの組み合わせ「gt 10」と「gt 11」は、別々に LOU の半分に格納されます。 「gt 10」と「lt 10」も別々に格納されます。
  • 演算子とオペランドの組み合わせがルール内の送信元ポートと宛先ポートのうちどちらに適用されるかは、LOU の使用方法に影響を与えます。 同じ組み合わせの一方が送信元ポートに、他方が宛先ポートに別々に適用される場合は、2 つの同じ組み合わせが別々に格納されます。 たとえば、あるルールによって、演算子とオペランドの組み合わせ「gt 10」が送信元ポートに、別のルールによって同じ組み合わせ「gt 10」が宛先ポートに適用される場合、両方の組み合わせが LOU の半分に格納され、結果として 1 つの LOU 全体が使用されることになります。 このため、「gt 10」を使用するルールが追加されても、これ以上 LOU は使用されません。

ロギング

ルールに一致するパケットに関する情報ログ メッセージの作成をイネーブルにできます。 ログ メッセージには、パケットについての次の情報が含まれます。

  • プロトコル
  • TCP、UDP、または ICMP のいずれのパケットか、あるいは、番号が付けられただけのパケットか
  • 送信元と宛先のアドレス
  • 送信元と宛先のポート番号(該当する場合)

時間範囲

時間範囲を使用して、ACL ルールが有効になる時期を制御できます。 たとえば、インターフェイスに着信するトラフィックに特定の ACL を適用するとデバイスが判断し、その ACL のあるルールの時間範囲が有効になっていない場合、デバイスは、トラフィックをそのルールと照合しません。 デバイスは、そのデバイスのクロックに基づいて時間範囲を評価します。

時間範囲を使用する ACL を適用すると、デバイスはその ACL で参照される時間範囲の開始時または終了時に影響する I/O モジュールをアップデートします。 時間範囲によって開始されるアップデートはベストエフォート型のプライオリティで実行されます。 時間範囲によってアップデートが生じたときにデバイスの処理負荷が非常に高い場合、デバイスはアップデートを最大数秒間遅らせることがあります。

IPv4、IPv6、および MAC の各 ACL は時間範囲をサポートしています。 デバイスがトラフィックに ACL を適用する場合、有効なルールは次のとおりです。

  • 時間範囲が指定されていないすべてのルール
  • デバイスがその ACL をトラフィックに適用した時点(秒)が時間範囲に含まれているルール

名前が付けられた時間範囲は再利用できます。多くの ACL ルールを設定する場合は、時間範囲を名前で一度設定すれば済みます。 時間範囲の名前は最大 64 の英文字で指定します。

時間範囲には、1 つまたは複数のルールで構成されます。 これらのルールは次の 2 種類に分類できます。

絶対

特定の開始日時、終了日時、その両方を持つルール、またはそのどちらも持たないルール。 絶対時間範囲のルールがアクティブかどうかは、開始日時または終了日時の有無によって、次のように決まります。

  • 開始日時と終了日時が両方指定されている:この時間範囲ルールは、現在の時刻が開始日時よりも後で終了日時よりも前の場合にアクティブになります。
  • 開始日時が指定され、終了日時は指定されていない:この時間範囲ルールは、現在の時刻が開始日時よりも後である場合にアクティブになります。
  • 開始日時は指定されず、終了日時が指定されている:この時間範囲ルールは、現在の時刻が終了日時よりも前である場合にアクティブになります。
  • 開始日時も終了日時も指定されていない:この時間範囲ルールは常にアクティブです。

たとえば、新しいサブネットへのアクセスを許可するようにネットワークを設定する場合、そのサブネットをオンラインにする予定日の真夜中からアクセスを許可するような時間範囲を指定し、 この時間範囲をそのサブネットに適用する ACL ルールに使用します。 デバイスはこのルールを含む ACL を適用する場合、開始日時が過ぎると、この時間範囲を使用するルールの適用を自動的に開始します。

定期

毎週 1 回以上アクティブになるルール。 たとえば、定期時間範囲を使用すると、平日の営業時間中だけ、研究室のサブネットにアクセスできるようにすることができます。 デバイスは、そのルールを含む ACL が適用されていて、時間範囲がアクティブな場合にだけ、この時間範囲を使用する ACL ルールを自動的に適用します。


(注)  


デバイスは、時間範囲内のルールの順序に関係なく、時間範囲がアクティブかどうかを判断します。


時間範囲には備考を含めることもできます。備考を使用すると、時間範囲にコメントを挿入できます。 備考は、最大 100 文字の英数字で指定します。

デバイスは次の方法で時間範囲がアクティブかどうかを判断します。

  • 時間範囲に絶対ルールが 1 つまたは複数含まれている:現在の時刻が 1 つまたは複数の絶対ルールの範囲内であれば、その時間範囲はアクティブです。
  • 時間範囲に定期ルールが 1 つまたは複数含まれている:現在の時刻が 1 つまたは複数の定期ルールの範囲内であれば、その時間範囲はアクティブです。
  • 時間範囲に絶対ルールと定期ルールが両方含まれている:現在の時刻が 1 つまたは複数の絶対ルールと 1 つ以上の定期ルールの範囲内にある場合に、その時間範囲はアクティブです。

時間範囲に絶対ルールと定期ルールが両方含まれている場合、定期ルールがアクティブになるのは、最低 1 つの絶対ルールがアクティブな場合だけです。

統計情報と ACL

このデバイスは IPv4 ACL、IPv6 ACL、および MAC ACL に設定した各ルールのグローバル統計を保持できます。 1 つの ACL が複数のインターフェイスに適用される場合、ルール統計には、その ACL が適用されるすべてのインターフェイスと一致する(ヒットする)パケットの合計数が維持されます。


(注)  


インターフェイスレベルの ACL 統計はサポートされていません。


設定する ACL ごとに、その ACL の統計情報をデバイスが維持するかどうかを指定できます。これにより、ACL によるトラフィック フィルタリングが必要かどうかに応じて ACL 統計のオン、オフを指定できます。また、ACL 設定のトラブルシューティングにも役立ちます。

デバイスには ACL の暗黙ルールの統計情報は維持されません。 たとえば、すべての IPv4 ACL の末尾にある暗黙の deny ip any any ルールと一致するパケットのカウントはデバイスに維持されません。 暗黙ルールの統計情報を維持する場合は、暗黙ルールと同じルールを指定した ACL を明示的に設定する必要があります。

Atomic ACL のアップデート

デフォルトでは、Cisco Nexus 7000 シリーズのデバイスのスーパーバイザ モジュールで、ACL の変更を I/O モジュールにアップデートする際には、Atomic ACL のアップデートを実行します。 Atomic アップデートでは、アップデートされる ACL が適用されるトラフィックを中断させることがありません。しかし、Atomic アップデートでは、ACL のアップデートを受け取る I/O モジュールに、関係する ACL の既存のすべてのエントリに加えて、アップデートされた ACL エントリを保存するのに十分なリソースがあることが必要です。 アップデートが行われた後、アップデートに使用されたリソースは開放されます。 I/O モジュールに十分なリソースがない場合は、デバイスからエラー メッセージが出力され、この I/O モジュールに対する ACL のアップデートは失敗します。

I/O モジュールに十分なリソースがない場合は、デバイスのコマンドライン インターフェイスを使用して Atomic アップデートをディセーブルにできます。 DCNM では、Atomic ACL アップデート機能を設定できません。

IP ACL のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

IP ACL にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は Cisco DCNM にバンドルされており、無料で提供されます。 Cisco DCNM ライセンス方式についての詳細は、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

IP ACL を使用するためにライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 各プラットフォームの Cisco NX-OS ライセンス方式の詳細については、プラットフォームのライセンス ガイドを参照してください。

IP ACL をサポートしているプラットフォーム

これらの機能をサポートするプラットフォームは次のとおりです。ただし、実装方法は異なる場合があります。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

機能 プラットフォーム マニュアル
IPv4 ACL Cisco Nexus 1000V シリーズ スイッチ Cisco Nexus 1000V シリーズ スイッチのマニュアル
Cisco Nexus 3000 シリーズ スイッチ Cisco Nexus 3000 シリーズ スイッチのマニュアル
Cisco Nexus 4000 シリーズ スイッチ Cisco Nexus 4000 シリーズ スイッチのマニュアル
Cisco Nexus 5000 シリーズ スイッチ Cisco Nexus 5000 シリーズ スイッチ マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル
IPv6 ACL Cisco Nexus 5000 シリーズ スイッチ Cisco Nexus 5000 シリーズ スイッチ マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル
時間範囲 Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル
オブジェクト グループ Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

IP ACL の設定

IP ACL の作成

デバイスに IP ACL を作成し、これにルールを追加できます。

手順
    ステップ 1   [Feature Selector] ペインで、[Security] > [Access Control] > [IPv4 ACL] または [IPv6 ACL] を選択します。

    [Summary] ペインに使用可能なデバイスが表示されます。

    ステップ 2   [Summary] ペインで、ACL を追加するデバイスをダブルクリックします。
    ステップ 3   (任意) メニュー バーで、[File] > [New] > [IPv4 ACL] または [IPv6 ACL] を選択します。

    [Summary] ペインに新しい行が表示されます。 [Details] ペインに [Details] タブが表示されます。

    ステップ 4   [Details] タブの [Name] フィールドに、ACL の名前を入力します。
    ステップ 5   (任意)この MAC ACL のルールのグローバル統計情報をデバイスで維持する場合は、[Statistics] をオンにします。
    ステップ 6   ACL に追加するルールごとに、メニュー バーで [File] > [New] を選択してルールのタイプを選択します。 [Details] タブで、必要に応じてフィールドを設定します。
    ステップ 7   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

    IP ACL の変更

    既存の IP ACL でルールの変更、順序変更、追加、および削除を行うことができます。

    手順
      ステップ 1   [Feature Selector] ペインで、[Security] > [Access Control] > [IPv4 ACL] または [IPv6 ACL] を選択します。

      [Summary] ペインに使用可能なデバイスが表示されます。

      ステップ 2   (任意) [Summary] ペインで、変更する ACL が設定されているデバイスをダブルクリックし、ACL をダブルクリックします。

      デバイス上の ACL およびダブルクリックした ACL のルールが [Summary] ペインに表示されます。

      ステップ 3   (任意)この IP ACL に含まれるルールのグローバル統計情報をデバイスで維持するかを変更する場合は、[Summary] ペインで ACL をクリックし、[Details] タブで必要に応じて [Statistics] をオンまたはオフにします。
      ステップ 4   (任意)ルールの詳細を変更する場合は、[Summary] ペインでルールをクリックします。 [Details] タブで、必要に応じてフィールドを設定します。
      ステップ 5   (任意)ルールを追加する場合は、[Summary] ペインで ACL をクリックし、メニュー バーで [File] > [New] を選択してルールのタイプを選択します。 [Details] タブで、必要に応じてフィールドを設定します。
      ステップ 6   (任意)ルールを削除する場合は、ルールをクリックしてからメニュー バーで [Actions] > [Delete] を選択します。
      ステップ 7   (任意) ACL 内の別の位置にルールを移動する場合は、[Summary] ペインでルールをクリックしてから、メニュー バーで次のいずれかを適宜選択します。
      • [Actions] > [Move Up]

      • [Actions] > [Move Down]

      選択に従って、ルールの位置が入れ替わり、ルールに設定されたシーケンス番号が増減します。

      ステップ 8   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

      IP ACL 内のシーケンス番号の変更

      IP ACL 内のルールに付けられたすべてのシーケンス番号を変更できます。

      手順
        ステップ 1   [Feature Selector] ペインで、[Security] > [Access Control] > [IPv4 ACL] または [IPv6 ACL] を選択します。

        [Summary] ペインに使用可能なデバイスが表示されます。

        ステップ 2   [Summary] ペインで、変更する ACL が設定されているデバイスをダブルクリックし、ACL をダブルクリックします。

        デバイス上の ACL およびダブルクリックした ACL のルールが [Summary] ペインに表示されます。 [Seq No] カラムには、各ルールに割り当てられたシーケンス番号が表示されます。

        ステップ 3   シーケンス番号を変更するルールをクリックします。

        [Details] ペインにルールの [Sequence Number] フィールドが表示されます。

        ステップ 4   [Sequence Number] フィールドをクリックし、番号を編集して Tab を押します。

        [Summary] ペインに新しいシーケンス番号が表示されます。必要に応じて、新しいシーケンス番号によって決まる位置にルールが移動します。

        ステップ 5   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

        IP ACL の削除

        IP ACL をデバイスから削除できます。

        はじめる前に

        その ACL がインターフェイスに適用されているかどうかを確認します。 削除できるのは、現在適用されている ACL です。 ACL を削除しても、その ACL が適用されていたインターフェイスの設定は影響を受けません。 デバイスは削除された ACL を空であると見なします。

        手順
          ステップ 1   [Feature Selector] ペインで、[Security] > [Access Control] > [IPv4 ACL] または [IPv6 ACL] を選択します。

          [Summary] ペインに使用可能なデバイスが表示されます。

          ステップ 2   [Summary] ペインで、ACL を削除するデバイスをダブルクリックします。

          現在デバイス上にある ACL が [Summary] ペインに表示されます。

          ステップ 3   削除する ACL をクリックします。
          ステップ 4   メニュー バーの [Actions] > [Delete] を選択します。

          [Summary] ペインに ACL が表示されなくなります。

          ステップ 5   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

          物理ポートへの IP ACL の適用

          IP ACL は、物理イーサネット ポートに適用できます。

          DCNM では、方向を考慮して IP ACL を適用できます。つまり、物理イーサネット ポートの着信トラフィックと発信トラフィックに対して、別々の ACL を指定できます。

          はじめる前に

          適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。

          手順
            ステップ 1   [Feature Selector] ペインで、[Interfaces] > [Physical] > [Ethernet] を選択します。

            [Summary] ペインに使用可能なデバイスが表示されます。

            ステップ 2   [Summary] ペインで、該当するデバイスをダブルクリックして、ポートを含むスロットをダブルクリックします。

            ダブルクリックしたスロット内のポートが [Summary] ペインに表示されます。

            ステップ 3   IP ACL を適用するポートをクリックします。
            ステップ 4   必要に応じて、[Details] ペインから [Port Details] タブをクリックして、[Advanced Settings] セクションを拡張します。

            次のドロップダウン リストが [Advanced Settings] セクションに表示されます。

            • Incoming Ipv4 Traffic
            • Outgoing Ipv4 Traffic
            • Incoming Ipv6 Traffic
            • Outgoing Ipv6 Traffic
            ステップ 5   ACL タイプおよび ACL を適用するトラフィック方向ごとに、該当するドロップダウン リストで適用する ACL を選択します。
            ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

            仮想イーサネット インターフェイスへの IP ACL の適用

            IP ACL は、仮想イーサネット ポートに適用できます。

            DCNM では、方向を考慮して IP ACL を適用できます。つまり、物理イーサネット ポートの着信トラフィックと発信トラフィックに対して、別々の ACL を指定できます。

            はじめる前に

            適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。

            手順
              ステップ 1   [Feature Selector] ペインで、[Interfaces] > [Logical] > [Virtual Ethernet] を選択します。

              [Summary] ペインに使用可能なデバイスが表示されます。

              ステップ 2   [Summary] ペインで、該当するデバイスをダブルクリックして、ポートを含むスロットをダブルクリックします。

              ダブルクリックしたスロット内のポートが [Summary] ペインに表示されます。

              ステップ 3   IP ACL を適用するインターフェイスをクリックします。

              クリックしたインターフェイスの設定が [Details] ペインに表示されます。

              ステップ 4   必要に応じて、[Details] ペインから [Port Details] タブをクリックして、[Advanced Settings] セクションを拡張します。

              次のドロップダウン リストが [Advanced Settings] セクションに表示されます。

              • Incoming Ipv4 Traffic
              • Outgoing Ipv4 Traffic
              ステップ 5   ACL を適用するトラフィック方向ごとに、該当するドロップダウン リストで適用する ACL を選択します。
              ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

              ポート チャネルへの IP ACL の適用

              IP ACL は、イーサネット ポート チャネルに適用できます。

              DCNM では、方向を考慮して IP ACL を適用できます。イーサネット ポート チャネルの着信トラフィックと発信トラフィックに対して、別々の ACL を指定できます。

              はじめる前に

              適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。

              手順
                ステップ 1   [Feature Selector] ペインで、[Ports] > [Logical] > [Port Channel] を選択します。

                [Summary] ペインに使用可能なデバイスが表示されます。

                ステップ 2   [Summary] ペインで、該当するデバイスをダブルクリックします。

                ダブルクリックしたデバイスのポート チャネルが [Summary] ペインに表示されます。

                ステップ 3   IP ACL を適用するポート チャネルをクリックします。

                ポート チャネルに関する設定が [Details] ペインに表示されます。

                ステップ 4   必要に応じて、[Details] ペインから [Port Channel Advanced Settings] タブをクリックして、[Advanced Settings] セクションを拡張します。

                [Advanced Settings] セクションの [IPv4 ACL] 領域および [IPv6 ACL] 領域には、それぞれ [Incoming Traffic] ドロップダウン リストと [Outgoing Traffic] ドロップダウン リストが含まれています。

                ステップ 5   ACL タイプおよび ACL を適用するトラフィック方向ごとに、該当するドロップダウン リストで適用する ACL を選択します。
                ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                IP ACL の VACL としての適用

                IP ACL は VACL として適用できます。

                IP ACL 統計情報の表示

                [Statistics] タブに次のウィンドウが表示されます。

                Access Rule Statistics Chart
                選択した IP ACL ルールに一致するパケットの数に関する情報。

                この機能のための統計情報収集の詳細については、を参照してください。

                IPv4 ACL のフィールドの説明

                [IPv4 ACL]:[Details] タブ

                表 2 [IPv4 ACL]:[Details] タブ

                フィールド

                説明

                Name

                IPv4 ACL の名前。 名前には最大 64 文字の英数字を指定できますが、先頭の文字は英字にする必要があります。 デフォルトでは名前が割り当てられていません。

                Statistics

                ACL によってフィルタリングされたトラフィックに関する統計情報を、デバイスがログに記録するかどうか。 このチェックボックスは、デフォルトでオフになっています。

                [IPv4 Access Rule]:[Details] タブ

                表 3  [IPv4 Access Rule]:[Details] タブ

                フィールド

                説明

                Sequence Number

                表示のみ。 ルールに割り当てられたシーケンス番号。

                Action

                パケットにルールが適用されるとデバイスが判断したとき、そのデバイスで実行されるアクション。 有効な値は次のとおりです。

                • [Deny]:パケットの処理を停止してパケットをドロップします。 これがデフォルト値です。
                • [Permit]:パケットの処理を続行します。

                [IPv4 Access Rule]:[Details]:[Source and Destination] セクション

                表 4  [IPv4 Access Rule]:[Details]:[Source and Destination] セクション

                フィールド

                説明

                Source

                送信元のタイプ。 有効な値は次のとおりです。

                • [Any]:このルールは任意の IPv4 送信元からのパケットに一致します。 これがデフォルト値です。 [Any] を選択した場合、このリストの下にある [IP Address] フィールドと [Wildcard Mask] フィールドはどちらも指定する必要がないため、使用できなくなります。
                • [Host]:このルールは特定の IPv4 アドレスからのパケットに一致します。 [Host] を選択した場合、このリストの下にある [IP Address] フィールドは使用できますが、[Wildcard Mask] フィールドは使用できない状態のままです。
                • [Network]:このルールは IPv4 ネットワークからのパケットに一致します。 [Network] を選択した場合は、このリストの下にある [IP Address] フィールドと [Wildcard Mask] フィールドをどちらも使用できます。

                IP Address (Source)

                ホストまたはネットワークの IPv4 アドレス。 有効なアドレスはドット付き 10 進表記です。 このフィールドは、[Source] ドロップダウン リストから [Host] または [Network] を選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                Wildcard Mask (Source)

                IPv4 ネットワークのワイルドカード マスク。 有効なマスクはドット付き 10 進表記です。 たとえば、[IP Address] フィールドに 192.168.0.0 と指定した場合、このフィールドには 0.0.255.255 などと入力します。 このフィールドは、[Source] ドロップダウン リストから [Network] を選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                Destination

                宛先のタイプ。 有効な値は次のとおりです。

                • [Any]:このルールは任意の IPv4 送信元に送信されるパケットに一致します。 これがデフォルト値です。 [Any] を選択した場合、このリストの下にある [IP Address] フィールドと [Wildcard Mask] フィールドはどちらも指定する必要がないため、使用できなくなります。
                • [Host]:このルールは特定の IPv4 アドレスに送信されるパケットに一致します。 [Host] を選択した場合、このリストの下にある [IP Address] フィールドは使用できますが、[Wildcard Mask] フィールドは使用できない状態のままです。
                • [Network]:このルールは IPv4 ネットワークに送信されるパケットに一致します。 [Network] を選択した場合は、このリストの下にある [IP Address] フィールドと [Wildcard Mask] フィールドをどちらも使用できます。

                IP Address (Destination)

                ホストまたはネットワークの IPv4 アドレス。 有効なアドレスはドット付き 10 進表記です。 このフィールドは、[Destination] ドロップダウン リストから [Host] または [Network] を選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                Wildcard Mask (Destination)

                IPv4 ネットワークのワイルドカード マスク。 有効なマスクはドット付き 10 進表記です。 たとえば、[IP Address] フィールドに 192.168.0.0 と指定した場合、このフィールドには 0.0.255.255 などと入力します。 このフィールドは、[Destination] ドロップダウン リストから [Network] を選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                [IPv4 Access Rule]:[Details]:[Protocol and Others] セクション

                表 5 [IPv4 Access Rule]:[Details]:[Protocol and Others] セクション

                フィールド

                説明

                All Access Rules

                Protocol

                表示のみ。 アクセス ルールのプロトコル。 表示される可能性のある値は次のとおりです。

                • IP
                • TCP
                • UDP
                • ICMP
                • IGMP

                Time range

                アクセス ルールに適用される名前付き時間範囲。 ルールを常に有効にする場合は、時間範囲を指定しません。 デフォルトでは、このフィールドはブランクです。

                Log this entry

                アクセス ルールの適用先トラフィックに関する統計情報をデバイスがログに記録するかどうか。 このチェックボックスは、デフォルトでオフになっています。

                IP Access Rule

                IP Protocol

                アクセス ルールが適用されるトラフィックのタイプ。 デフォルト値は [Ip] で、この場合はすべての IP プロトコルに適用されます。 well-known プロトコルを指定するには、プロトコル名を選択します。 リストはプロトコル番号順に並べられます。 IANA の割り当て済みインターネット プロトコル番号のリストについては、http://www.iana.org/assignments/protocol-numbersを参照してください。

                TCP and UDP Access Rules

                Source Port

                アクセス ルールの適用先送信元ポートまたは送信元ポートの範囲。 デフォルトでは、送信元ポートは割り当てられていません。

                左側のリストには、パケットの送信元ポートとアクセス ルールで指定されたポートを比較するときにデバイスが使用する演算子を指定します。

                右側のフィールドは、ドロップダウン リストまたは 1 組のテキスト フィールドのいずれかです。 演算子が [Range] でない場合は、ドロップダウン リストを使用して well-known ポートを名前で指定できます。

                演算子が [Range] の場合は、テキスト フィールドを使用してポート番号範囲の開始と終了を入力できます。 どちらのフィールドも、有効なポート番号は、0 ~ 65535 です。

                単一ポートを番号で指定するには、演算子のドロップダウン リストから [Range] を選択して、両方の送信元ポート フィールドにポート番号を入力します。

                Destination

                アクセス ルールの適用先宛先ポートまたは宛先ポートの範囲。 デフォルトでは、送信元ポートは割り当てられていません。

                左側のリストには、パケットの宛先ポートとアクセス ルールで指定されたポートを比較するときにデバイスが使用する演算子を指定します。

                右側のフィールドは、ドロップダウン リストまたは 1 組のテキスト フィールドのいずれかです。 演算子が [Range] でない場合は、ドロップダウン リストを使用して well-known ポートを名前で指定できます。

                演算子が [Range] の場合は、テキスト フィールドを使用してポート番号範囲の開始と終了を入力できます。 どちらのフィールドも、有効なポート番号は、0 ~ 65535 です。

                単一ポートを番号で指定するには、演算子のドロップダウン リストから [Range] を選択して、両方の送信元ポート フィールドにポート番号を入力します。

                ICMP Access Rule

                ICMP Message

                ドロップダウン リストで選択した ICMP メッセージに基づくルール フィルタ。 デフォルトでは、オプション ボタンがオンでリストがブランクです。

                ICMP Type

                ドロップダウン リストと [ICMP Code] フィールドで指定した値に基づくルール フィルタ。 デフォルトでは、オプション ボタンがオフでリストは使用できません。

                ICMP Code

                ICMP トラフィックのフィルタリングにルールが使用する ICMP メッセージ コード。 このフィールドの有効な入力は、[ICMP Type] ドロップダウン リストによって異なります。 デフォルトでは、このリストは使用できません。

                IGMP Access Rule

                IGMP Message

                [IGMP Message] ドロップダウン リストで選択した IGMP メッセージに基づくルール フィルタ。 オプション ボタンはデフォルトで選択されています。 リストのデフォルト値は 0(ゼロ)です。

                IGMP Type

                IGMP メッセージ タイプに基づくルール フィルタ。 デフォルトでは、オプション ボタンがオフでリストは使用できません。

                [IPv4 Access Rule]:[Details]:[Advanced] セクション

                表 6 [IPv4 Access Rule]:[Details]:[Advanced] セクション

                フィールド

                説明

                All Access Rules

                DSCP

                IP パケットにある DSCP ヘッダー フィールドの DiffServ 値。 一致する値を持つパケットだけにルールが適用されます。 デフォルトでは値が選択されていません。

                Precedence

                IP Precedence フィールド値。 一致する値を持つパケットだけにルールが適用されます。 デフォルトでは値が選択されていません。

                Fragments

                非初期フラグメントであるパケットだけに一致するルール。 このチェックボックスは、デフォルトでオフになっています。

                TCP Access Rules

                Established

                確立された TCP 接続に属するパケットだけに一致するルール。 デバイスは、ACK または RST ビットが設定されている TCP パケットが、確立された接続に属していると見なします。 このチェックボックスは、デフォルトでオフになっています。

                Fin

                FIN コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 このチェックボックスは、デフォルトでオフになっています。

                Psh

                PSH コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 このチェックボックスは、デフォルトでオフになっています。

                Rst

                RST コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 このチェックボックスは、デフォルトでオフになっています。

                Syn

                SYN コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 このチェックボックスは、デフォルトでオフになっています。

                Urg

                URG コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 このチェックボックスは、デフォルトでオフになっています。

                Ack

                ACK コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 このチェックボックスは、デフォルトでオフになっています。

                [IPv4 ACL Remark]:[Remark Details] タブ

                表 7 [IPv4 ACL Remark]:[Remark Details] タブ

                フィールド

                説明

                Sequence Number

                表示のみ。 コメントに割り当てられたシーケンス番号。

                Remark Description

                コメントのテキスト。最大 100 文字の英数字で指定します。 デフォルトでは、このフィールドは空白です。

                IPv6 ACL のフィールドの説明

                [IPv6 ACL]:[Details] タブ

                表 8 [IPv6 ACL]:[Details] タブ

                フィールド

                説明

                Name

                IPv6 ACL の名前。 名前には最大 64 文字の英数字を指定できますが、先頭の文字は英字にする必要があります。 デフォルトでは名前が割り当てられていません。

                Statistics

                ACL によってフィルタリングされたトラフィックに関する統計情報を、デバイスがログに記録するかどうか。 このチェックボックスは、デフォルトでオフになっています。

                [IPv6 Access Rule]:[Details] タブ

                表 9 [IPv6 Access Rule]:[Details] タブ

                フィールド

                説明

                Sequence Number

                表示のみ。 ルールに割り当てられたシーケンス番号。

                Action

                パケットにルールが適用されるとデバイスが判断したとき、そのデバイスで実行されるアクション。 有効な値は次のとおりです。

                • [Deny]:パケットの処理を停止してパケットをドロップします。
                • [Permit]:パケットの処理を続行します。

                [IPv6 Access Rule]:[Details]:[Source and Destination] セクション

                表 10 [IPv6 Access Rule]:[Details]:[Source and Destination] セクション

                フィールド

                説明

                Source

                送信元のタイプ。 有効な値は次のとおりです。

                • [Any]:このルールは任意の IPv6 送信元からのパケットに一致します。 これがデフォルト値です。 [Any] を選択した場合、このリストの下にある [IP Address] フィールドと [Wildcard Mask] フィールドはどちらも指定する必要がないため、使用できなくなります。
                • [Host]:このルールは特定の IPv6 アドレスからのパケットに一致します。 [Host] を選択した場合、このリストの下にある [IPv6 Address] フィールドは使用できますが、[IPv6 Prefix Length] フィールドは使用できない状態のままです。
                • [Network]:このルールは IPv6 ネットワークからのパケットに一致します。 [Network] を選択した場合は、このリストの下にある [IPv6 Address] フィールドと [IPv6 Prefix Length] フィールドをどちらも使用できます。

                IPv6 Address (Source)

                送信元ホストまたはネットワークの IPv6 アドレス。 このフィールドは、[Source] ドロップダウン リストから [Host] または [Network] を選択した場合に使用できます。 デフォルトでは、このフィールドは使用できません。

                IPv6 Prefix Length (Source)

                [IPv6 Address] フィールドで指定された送信元アドレスの可変長サブネット マスク。 有効なエントリは 1 ~ 128 の整数です。 たとえば、[Source] ドロップダウン リストから [Network] を選択して、[IPv6 Address] フィールドに 2001:0db8:85a3:: を指定した場合、このフィールドには 128 などを入力します。

                このフィールドは、[Source] ドロップダウン リストから [Network] を選択した場合に使用できます。 デフォルトでは、このフィールドは使用できません。

                Destination

                宛先のタイプ。 有効な値は次のとおりです。

                • [Any]:このルールは任意の IPv6 宛先に送信されるパケットに一致します。 これがデフォルト値です。 [Any] を選択した場合、このリストの下にある [IP Address] フィールドと [Wildcard Mask] フィールドはどちらも指定する必要がないため、使用できなくなります。
                • [Host]:このルールは特定の IPv6 アドレスに送信されるパケットに一致します。 [Host] を選択した場合、このリストの下にある [IPv6 Address] フィールドは使用できますが、[IPv6 Prefix Length] フィールドは使用できない状態のままです。
                • [Network]:このルールは IPv6 ネットワークに送信されるパケットに一致します。 [Network] を選択した場合は、このリストの下にある [IPv6 Address] フィールドと [IPv6 Prefix Length] フィールドをどちらも使用できます。

                IPv6 Address (Destination)

                宛先ホストまたはネットワークの IPv6 アドレス。 このフィールドは、[Source] ドロップダウン リストから [Host] または [Network] を選択した場合に使用できます。 デフォルトでは、このフィールドは使用できません。

                IPv6 Prefix Length (Destination)

                [IPv6 Address] フィールドで指定された宛先アドレスの可変長サブネット マスク。 有効なエントリは 1 ~ 128 の整数です。 たとえば、[Source] ドロップダウン リストから [Network] を選択して、[IPv6 Address] フィールドに 2001:0db8:85a3:: を指定した場合、このフィールドには 128 などを入力します。

                このフィールドは、[Source] ドロップダウン リストから [Network] を選択した場合に使用できます。 デフォルトでは、このフィールドは使用できません。

                [IPv6 Access Rule]:[Details]:[Protocol and Others] セクション

                表 11 [IPv6 Access Rule]:[Details]:[Protocol and Others] セクション

                フィールド

                説明

                All Access Rules

                Protocol

                表示のみ。 アクセス ルールのプロトコル。 表示される可能性のある値は次のとおりです。

                • IPv6
                • TCP
                • UDP
                • ICMP
                • SCTP

                Time range

                アクセス ルールに適用される名前付き時間範囲。 ルールを常に有効にする場合は、時間範囲を指定しません。 デフォルトでは、このリストは空白です。

                Log this entry

                アクセス ルールの適用先トラフィックに関する統計情報をデバイスがログに記録するかどうか。 デフォルトでは、このチェックボックスはオフになっています。

                Flow Label

                アクセス ルールが適用されるトラフィックのフロー ラベル値。 フロー ラベル値は、IPv6 パケットのフロー ラベル ヘッダー フィールド内にあります。 フロー ラベル値には、0 ~ 1048575 の整数を指定できます。 デフォルトでは、このフィールドは空白です。

                IPv6 Access Rule

                IP Protocol

                アクセス ルールが適用されるトラフィックの IP プロトコル。 デフォルト値は [Ipv6] で、この場合はすべての IPv6 プロトコルに適用されます。 well-known プロトコルを指定するには、プロトコル名を選択します。 リストはプロトコル番号順に並べられます。 IANA の割り当て済みインターネット プロトコル番号のリストについては、http://www.iana.org/assignments/protocol-numbersを参照してください。

                TCP and UDP Access Rules

                Source Port

                アクセス ルールの適用先送信元ポートまたは送信元ポートの範囲。 デフォルトでは、送信元ポートは割り当てられていません。

                左側のリストには、パケットの送信元ポートとアクセス ルールで指定されたポートを比較するときにデバイスが使用する演算子を指定します。

                右側のフィールドは、ドロップダウン リストまたは 1 組のテキスト フィールドのいずれかです。 演算子が [Range] でない場合は、ドロップダウン リストを使用して well-known ポートを名前で指定できます。

                演算子が [Range] の場合は、テキスト フィールドを使用してポート番号範囲の開始と終了を入力できます。 どちらのフィールドも、有効なポート番号は、0 ~ 65535 です。

                単一ポートを番号で指定するには、演算子のドロップダウン リストから [Range] を選択して、両方の送信元ポート フィールドにポート番号を入力します。

                Destination

                アクセス ルールが適用される宛先ポートまたは宛先ポートの範囲。 デフォルトでは、送信元ポートは割り当てられていません。

                左側のリストには、パケットの宛先ポートとアクセス ルールで指定されたポートを比較するときにデバイスが使用する演算子を指定します。

                右側のフィールドは、ドロップダウン リストまたは 1 組のテキスト フィールドのいずれかです。 演算子が [Range] でない場合は、ドロップダウン リストを使用して well-known ポートを名前で指定できます。

                演算子が [Range] の場合は、テキスト フィールドを使用してポート番号範囲の開始と終了を入力できます。 どちらのフィールドも、有効なポート番号は、0 ~ 65535 です。

                単一ポートを番号で指定するには、演算子のドロップダウン リストから [Range] を選択して、両方の送信元ポート フィールドにポート番号を入力します。

                ICMP Access Rule

                ICMP Message

                [ICMP Message] ドロップダウン リストで選択した ICMP メッセージに基づくルール フィルタ。 デフォルトでは、オプション ボタンはオンですが、リストはブランクです。

                ICMP Type

                [ICMP Type] ドロップダウン リストと [ICMP Code] フィールドで指定した値に基づくルール フィルタ。 デフォルトでは、オプション ボタンがオフでリストは使用できません。

                ICMP Code

                ICMP トラフィックのフィルタリングにルールが使用する ICMP メッセージ コード。 このフィールドの有効な入力は、[ICMP Type] ドロップダウン リストによって異なります。 デフォルトでは、このリストは使用できません。

                SCTP Access Rule

                Source Port

                アクセス ルールの適用先送信元ポートまたは送信元ポートの範囲。 デフォルトでは、送信元ポートは割り当てられていません。

                左側のリストには、パケットの送信元ポートとアクセス ルールで指定されたポートを比較するときにデバイスが使用する演算子を指定します。

                右側のフィールドは、ドロップダウン リストまたは 1 組のテキスト フィールドのいずれかです。 演算子が [Range] でない場合は、ドロップダウン リストを使用して well-known ポートを名前で指定できます。

                演算子が [Range] の場合は、テキスト フィールドを使用してポート番号範囲の開始と終了を入力できます。 どちらのフィールドも、有効なポート番号は、0 ~ 65535 です。

                単一ポートを番号で指定するには、演算子のドロップダウン リストから [Range] を選択して、両方の送信元ポート フィールドにポート番号を入力します。

                Destination

                アクセス ルールが適用される宛先ポートまたは宛先ポートの範囲。 デフォルトでは、送信元ポートは割り当てられていません。

                左側のリストには、パケットの宛先ポートとアクセス ルールで指定されたポートを比較するときにデバイスが使用する演算子を指定します。

                右側のフィールドは、ドロップダウン リストまたは 1 組のテキスト フィールドのいずれかです。 演算子が [Range] でない場合は、ドロップダウン リストを使用して well-known ポートを名前で指定できます。

                演算子が [Range] の場合は、テキスト フィールドを使用してポート番号範囲の開始と終了を入力できます。 どちらのフィールドも、有効なポート番号は、0 ~ 65535 です。

                単一ポートを番号で指定するには、演算子のドロップダウン リストから [Range] を選択して、両方の送信元ポート フィールドにポート番号を入力します。

                [IPv6 Access Rule]:[Details]:[Advanced] セクション

                表 12  [IPv6 Access Rule]:[Details]:[Advanced] セクション

                フィールド

                説明

                All Access Rules

                DSCP

                IP パケットにある DSCP ヘッダー フィールドの DiffServ 値。 一致する値を持つパケットだけにルールが適用されます。 デフォルトでは、このリストは空白です。

                Fragments

                非初期フラグメントであるパケットだけに一致するルール。 デフォルトでは、このチェックボックスはオフになっています。

                TCP Access Rules

                Established

                確立された TCP 接続に属するパケットだけに一致するルール。 デバイスは、ACK または RST ビットが設定されている TCP パケットが、確立された接続に属していると見なします。 デフォルトでは、このチェックボックスはオフになっています。

                Fin

                FIN コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 デフォルトでは、このチェックボックスはオフになっています。

                Psh

                PSH コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 デフォルトでは、このチェックボックスはオフになっています。

                Rst

                RST コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 デフォルトでは、このチェックボックスはオフになっています。

                Syn

                SYN コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 デフォルトでは、このチェックボックスはオフになっています。

                Urg

                URG コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 デフォルトでは、このチェックボックスはオフになっています。

                Ack

                ACK コントロール ビット フラグ セットを持つ TCP パケットだけに一致するルール。 デフォルトでは、このチェックボックスはオフになっています。

                [IPv6 ACL Remark]:[Remark Details] タブ

                表 13 [IPv6 ACL Remark]:[Remark Details] タブ

                フィールド

                説明

                Remark Sequence Number

                表示のみ。 コメントに割り当てられたシーケンス番号。

                Remark Description

                コメントのテキスト。最大 100 文字の英数字で指定します。 デフォルトでは、このフィールドは空白です。

                オブジェクト グループの設定

                IPv4 ACL および IPv6 ACL のルールに送信元と宛先のアドレスおよびプロトコル ポートを指定する際に、オブジェクト グループを使用できます。

                アドレス オブジェクト グループの作成

                IPv4 または IPv6 のアドレス オブジェクト グループを作成し、これにエントリを追加できます。

                手順
                  ステップ 1   [Feature Selector] ペインで、[Security] > [Object Group] > [Address Group] を選択します。

                  [Summary] ペインに使用可能なデバイスが表示されます。

                  ステップ 2   [Summary] ペインで、アドレス オブジェクト グループを追加するデバイスをダブルクリックします。
                  ステップ 3   必要に応じて [IPv4] または [IPv6] をクリックし、メニュー バーで [Actions] > [New] > [Address Group] を選択します。

                  新しいアドレス オブジェクト グループの空白行にカーソルが表示されます。

                  ステップ 4   アドレス オブジェクト グループの名前を入力し、Enter を押します。
                  ステップ 5   作成するアドレス オブジェクト グループ エントリごとに、次の手順を実行します。
                  1. アドレス オブジェクト グループをクリックして、メニュー バーで [Actions] > [New] > [Address Group Entry] を選択します。

                    新しいアドレス オブジェクト グループ エントリが、グループ内の他のエントリ(ある場合)の下に表示されます。 [Details] ペインに、作成したアドレス オブジェクト グループのタイプに対応する [Entry Details] タブが表示されます。

                  2. [Details] タブで、必要に応じてフィールドを設定します。
                  ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                  Cisco DCNM によって、アドレス オブジェクト グループとそのエントリがデバイス上に作成されます。


                  ポート オブジェクト グループの作成

                  ポート オブジェクト グループを作成し、これにエントリを追加できます。

                  手順
                    ステップ 1   [Feature Selector] ペインで、[Security] > [Object Group] > [Port Group] を選択します。

                    [Summary] ペインに使用可能なデバイスが表示されます。

                    ステップ 2   [Summary] ペインで、ポート オブジェクト グループを追加するデバイスをクリックします。
                    ステップ 3   メニュー バーの [Actions] > [New] > [Port Group] を選択します。

                    新しいポート オブジェクト グループの空白行にカーソルが表示されます。

                    ステップ 4   ポート オブジェクト グループの名前を入力し、Enter を押します。
                    ステップ 5   作成するポート オブジェクト グループ エントリごとに、次の手順を実行します。
                    1. ポート オブジェクト グループをクリックして、メニュー バーで [Actions] > [New] > [Port Group Entry] を選択します。

                      新しいポート オブジェクト グループ エントリが、グループ内の他のエントリ(ある場合)の下に表示されます。 [Details] ペインに、作成したポート オブジェクト グループ エントリに対応する [Details] タブが表示されます。

                    2. [Details] タブで、必要に応じてフィールドを設定します。
                    ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                    Cisco DCNM によって、ポート オブジェクト グループとそのエントリがデバイス上に作成されます。


                    オブジェクト グループの変更

                    既存のオブジェクト グループでエントリの変更、順序変更、追加、および削除を行うことができます。

                    手順
                      ステップ 1   [Feature Selector] ペインで、[Security] > [Access Control] > [Object Group] を選択してから、該当するオブジェクト グループ タイプ([Address Group] または [Port Group])を選択します。

                      [Summary] ペインに使用可能なデバイスが表示されます。

                      ステップ 2   [Summary] ペインで、変更するオブジェクト グループが設定されているデバイスをダブルクリックします。
                      ステップ 3   (任意)アドレス オブジェクト グループを変更する場合は、アドレス オブジェクト グループのタイプ([IPv4] または [IPv6])をダブルクリックします。
                      ステップ 4   オブジェクト グループをダブルクリックします。

                      ダブルクリックしたオブジェクト グループのエントリが [Summary] ペインに表示されます。

                      ステップ 5   (任意)オブジェクト グループ エントリの詳細を変更する場合は、[Summary] ペインでエントリをクリックします。 [Details] タブで、必要に応じてフィールドを設定します。
                      ステップ 6   (任意)エントリを追加する場合は、[Summary] ペインでオブジェクト グループをクリックし、メニュー バーで [Action] > [New] > [Address Group Entry] または [Port Group Entry] を選択します。 [Details] タブで、必要に応じてフィールドを設定します。
                      ステップ 7   (任意)オブジェクト グループ エントリを削除する場合は、オブジェクト グループ エントリをクリックしてからメニュー バーで [Actions] > [Delete] を選択します。
                      ステップ 8   (任意) オブジェクト グループ内の別の位置にオブジェクト グループ エントリを移動する場合は、[Summary] ペインでエントリをクリックしてから、メニュー バーで次のいずれかを適宜選択します。
                      • [Actions] > [Move Up]

                      • [Actions] > [Move Down]

                      選択に従って、エントリの位置が入れ替わり、ルールに設定されたシーケンス番号が増減します。

                      ステップ 9   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                      オブジェクト グループ内のシーケンス番号の変更

                      オブジェクト グループ内のエントリに割り当てられたすべてのシーケンス番号を変更できます。

                      手順
                        ステップ 1   [Feature Selector] ペインで、[Security] > [Access Control] > [Object Group] を選択してから、該当するオブジェクト グループ タイプ([Address Group] または [Port Group])を選択します。

                        [Summary] ペインに使用可能なデバイスが表示されます。

                        ステップ 2   [Summary] ペインで、変更するオブジェクト グループが設定されているデバイスをダブルクリックします。
                        ステップ 3   (任意)アドレス オブジェクト グループを変更する場合は、アドレス オブジェクト グループのタイプ([IPv4] または [IPv6])をダブルクリックします。
                        ステップ 4   オブジェクト グループをダブルクリックします。

                        ダブルクリックしたオブジェクト グループのエントリが [Summary] ペインに表示されます。 [Sequence Number] カラムには、各エントリに割り当てられたシーケンス番号が表示されます。

                        ステップ 5   シーケンス番号を変更するエントリをクリックします。

                        [Details] ペインにエントリの [Sequence Number] フィールドが表示されます。

                        ステップ 6   [Sequence Number] フィールドをクリックし、番号を編集して Tab を押します。

                        [Summary] ペインに新しいシーケンス番号が表示されます。必要に応じて、新しいシーケンス番号によって決まる位置にエントリが移動します。

                        ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                        時間範囲の設定

                        図 3. [Time-range] コンテンツ ペイン.

                        次の図は、[Time-range] コンテンツ ペインを示しています。



                        時間範囲の作成

                        デバイス上で時間範囲を作成し、これにルールを追加できます。

                        手順
                          ステップ 1   [Feature Selector] ペインで [Security] > [Access Control] > [Time-range] を選択します。

                          [Summary] ペインに使用可能なデバイスが表示されます。

                          ステップ 2   [Summary] ペインで、時間範囲を追加するデバイスをダブルクリックします。

                          デバイスに存在する時間範囲(ある場合)が [Summary] ペインに表示されます。

                          ステップ 3   メニュー バーで [File] > [New] > [New Time-range] を選択します。

                          [Summary] ペインに空白の行が表示されます。

                          ステップ 4   行内に、時間範囲の名前を入力します。
                          ステップ 5   時間範囲に追加するルールまたはコメントごとに、メニュー バーで [File] > [New] を選択してルールまたはコメントのタイプを選択します。 [Time Range Details] タブで、必要に応じてフィールドを設定します。
                          ステップ 6   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                          時間範囲の変更

                          既存の時間範囲でルールの変更、順序変更、追加、および削除を行うことができます。

                          手順
                            ステップ 1   [Feature Selector] ペインで [Security] > [Access Control] > [Time-range] を選択します。

                            [Summary] ペインに使用可能なデバイスが表示されます。

                            ステップ 2   (任意) [Summary] ペインで、変更する時間範囲が設定されているデバイスをダブルクリックし、時間範囲をダブルクリックします。 デバイスの時間範囲およびダブルクリックした時間範囲のルールが [Summary] ペインに表示されます。
                            ステップ 3   (任意)ルールの詳細を変更する場合は、[Summary] ペインでルールをクリックしてから、[Time Range Details] タブで、必要に応じてフィールドを設定します。
                            ステップ 4   (任意) 時間範囲内の別の位置にルールを移動する場合は、ルールをクリックしてから、メニュー バーで次のいずれかを適宜選択します。
                            • [Actions] > [Move Up]

                            • [Actions] > [Move Down]

                            選択に従ってルールが上下に移動します。 ルールのシーケンス番号は適宜調整されます。

                            ステップ 5   (任意) ルールを追加する場合は、[Summary] ペインで時間範囲をクリックし、メニュー バーで [File] > [New] を選択してルールのタイプを選択します。 [Time Range Details] タブで、必要に応じてフィールドを設定します。
                            ステップ 6   (任意)ルールを削除する場合は、[Summary] ペインでルールをクリックしてからメニュー バーで [Actions] > [Delete] を選択します。
                            ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                            時間範囲の削除

                            デバイスから時間範囲を削除できます。

                            はじめる前に

                            その時間範囲が ACL ルールのいずれかに使用されているかどうかを確認します。 削除できるのは、ACL ルールに使用されている時間範囲です。 ACL ルールに使用されている時間範囲を削除しても、その ACL が適用されているインターフェイスの設定には影響しません。 デバイスは削除された時間範囲を使用する ACL ルールを空であると見なします。

                            手順
                              ステップ 1   [Feature Selector] ペインで [Security] > [Access Control] > [Time-range] を選択します。

                              [Summary] ペインに使用可能なデバイスが表示されます。

                              ステップ 2   [Summary] ペインで、時間範囲を削除するデバイスをダブルクリックします。

                              現在デバイス上にある時間範囲が [Summary] ペインに表示されます。

                              ステップ 3   [Summary] ペインで、削除する時間範囲をクリックします。
                              ステップ 4   メニュー バーの [Actions] > [Delete] を選択します。

                              DCNM によってデバイスから時間範囲が削除され、[Summary] ペインに時間範囲が表示されなくなります。


                              時間範囲のフィールドの説明

                              次の表に、時間範囲のルールおよびコメントに関するフィールドを示します。



                              表 14 [Time Range Rule or Remark]:[Time Range Details] タブ

                              フィールド

                              説明

                              All Time Range Rules and Remarks

                              Seq No

                              表示のみ。 ルールに割り当てられたシーケンス番号。

                              Remarks

                              Description

                              コメントのテキスト。最大 100 文字の英数字で指定します。 デフォルトでは、このフィールドは空白です。

                              Absolute Rules

                              Date (Start)

                              絶対時間範囲がアクティブになる時刻および日付。 デフォルトでは、このリストは空白です。

                              開始の [Date] ドロップダウン リスト、終了の [Date] ドロップダウン リスト、またはその両方を設定する必要があります。

                              Date (End)

                              絶対時間範囲が非アクティブになる時刻および日付。 デフォルトでは、このリストは空白です。

                              開始の [Date] ドロップダウン リスト、終了の [Date] ドロップダウン リスト、またはその両方を設定する必要があります。

                              Periodic Rules

                              Days

                              定期ルールがアクティブになる曜日。 次のオプション ボタンのうち、いずれかを選択できます。

                              • [Daily]:範囲が毎日アクティブになります。
                              • [Weekdays]:月曜から金曜のみ範囲がアクティブになります。
                              • [Weekend]:土曜と日曜のみ範囲がアクティブになります。
                              • [Specific Days]:[Days of the week] チェックボックスで指定された日に範囲がアクティブになります。 これがデフォルト値です。 [Day] ドロップダウン リスト(終了)を使用できるのは、このオプション ボタンをオンにして、[Days of the week] チェックボックスで 1 日を選択した場合のみです。

                              Days of the week

                              定期ルールがアクティブになる曜日。 これらのチェックボックスを使用できるのは、[Specific Days] オプション ボタンが選択されている場合のみです。 デフォルトでは、これらのチェックボックスはオフになっています。

                              Time (Start)

                              範囲がアクティブになる時刻。 このスピンボックスの時刻は、[Time (End)] スピンボックスの時刻よりも前にする必要があります。 デフォルト値は 00:00:00 です。

                              Day

                              時間範囲が非アクティブになる曜日。 このドロップダウン リストを使用できるのは、[Specific Days] オプション ボタンを選択し、[Days of the week] のチェックボックスで 1 つだけを選択した場合のみです。 デフォルトでは、このリストは使用できません。

                              Time (End)

                              範囲が非アクティブになる時刻。 このスピンボックスの時刻は、[Time (End)] スピンボックスの時刻よりも後にする必要があります。 デフォルト値は 00:00:00 です。

                              IP ACL に関する追加情報

                              標準

                              標準

                              タイトル

                              この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

                              IP ACL の機能の履歴

                              次の表に、この機能のリリースの履歴を示します。



                              表 15  IP ACL の機能の履歴

                              機能名

                              リリース

                              機能情報

                              IP ACL

                              6.1(1)

                              M2 シリーズ モジュールが更新されました。

                              IPv4 ACL

                              5.2(1)

                              Cisco Nexus 3000 シリーズ スイッチのサポートが追加されました。

                              IP ACL

                              5.0(2)

                              オブジェクト グループのサポートが追加されました。

                              IP ACL

                              4.2(1)

                              レイヤ 2 インターフェイスでの MAC パケット分類のサポートが追加されました。