Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
VLAN ACL の設定
VLAN ACL の設定
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

VLAN ACL の設定

この章では、Cisco NX-OS デバイスの VLAN ACL(アクセス リスト)の設定方法を説明します。


(注)  


管理対象デバイスで稼働している Cisco NX-OS リリースでは、こので説明するすべての機能または設定がサポートされない場合があります。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースのマニュアルとリリース ノートを参照してください。


この章は、次の内容で構成されています。

VLAN ACL の概要

VLAN ACL(VACL)は、IP ACL または MAC ACL の適用例の 1 つです。 VACL を設定し、VLAN との間でルーティングされるかまたは VLAN 内でブリッジングされるすべてのパケットに適用できます。 VACL は、セキュリティ パケット フィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトだけを目的としたものです。 VACL は方向(入力または出力)で定義されることはありません。

VLAN アクセス マップとエントリ

VACL は、アクセス マップを使用して、1 つまたは複数のマップ エントリを順序化したリストを収容します。 各マップ エントリは、IP ACL を処理に関連付けます。 各エントリにはシーケンス番号が付き、これに基づいてエントリの優先度を管理できます。

デバイスがパケットに VACL を適用する際、パケットを許可する ACL を含む最初のアクセス マップ エントリで設定されている処理を適用します。

VACL とアクション

各 VLAN アクセス マップ エントリで、次のいずれかの処理を指定できます。

進む

スイッチの通常の動作によって決定された宛先にトラフィックを送信します。

リダイレクト

1 つまたは複数の指定インターフェイスにトラフィックをリダイレクトします。

ドロップ

トラフィックをドロップします。 ドロップを処理として指定する場合、ドロップされたパケットのログをデバイスが記録するよう指定することもできます。

VACL の統計情報

VACL の各ルールのグローバル統計が維持されます。 VACL を複数の VLAN に適用した場合、保持されるルール統計情報は、その VACL が適用されている各インターフェイス上で一致(ヒット)したパケットの総数になります。


(注)  


インターフェイスレベルの VACL 統計はサポートされていません。


設定する VLAN アクセス マップごとに、その VACL の統計情報を維持するかどうかを指定できます。 この機能を使用すると、VACL によってフィルタリングされたトラフィックのモニタが必要かどうかに応じて、あるいは VLAN アクセスマップの設定のトラブルシューティングが必要かどうかに応じて、VACL 統計をオンまたはオフにできます。

VACL のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

VACL にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は Cisco DCNM にバンドルされており、無料で提供されます。 Cisco DCNM ライセンス方式についての詳細は、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

VACL にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 各プラットフォームの Cisco NX-OS ライセンス方式の詳細については、プラットフォームのライセンス ガイドを参照してください。

VACL をサポートしているプラットフォーム

この機能をサポートするプラットフォームは次のとおりです。ただし、実装方法は異なる場合があります。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

プラットフォーム マニュアル
Cisco Nexus 1000V シリーズ スイッチ Cisco Nexus 1000V シリーズ スイッチのマニュアル
Cisco Nexus 3000 シリーズ スイッチ Cisco Nexus 3000 シリーズ スイッチのマニュアル
Cisco Nexus 4000 シリーズ スイッチ Cisco Nexus 4000 シリーズ スイッチのマニュアル
Cisco Nexus 5000 シリーズ スイッチ Cisco Nexus 5000 シリーズ スイッチ マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

VACL の設定

VACL の追加

VACL を作成できます。 VACL の作成には、IP ACL または MAC ACL を、一致したトラフィックに適用するアクションとアソシエートさせる、少なくとも 1 つの VLAN アクセス マップの作成が含まれます。

手順
    ステップ 1   [Feature Selector] ペインで [Security] > [Access Control] > [VLAN ACL] を選択します。

    [Summary] ペインに使用可能なデバイスが表示されます。

    ステップ 2   [Summary] ペインで、VACL を追加するデバイスをダブルクリックします。
    ステップ 3   メニュー バーで、[File] > [New] > [VLAN Access Map] を選択します。

    選択したデバイスの下で、新しい行が [Summary] ペインに表示されます。

    ステップ 4   新しい行に、VACL の名前を入力します。

    VACL は [Summary] ペインで引き続き選択されています。

    ステップ 5   作成する VLAN アクセス マップごとに、次の手順を実行します。
    1. メニュー バーで、[File] > [New] > [VLAN Access Map] を選択します。

      VACL の下で、新しい行が [Summary] ペインに表示されます。

    2. 必要に応じて、[Details] ペインから [Details] タブをクリックして、[Match Condition And Action] セクションを拡張します。
    3. [Match ACL Type] ドロップダウン リストで、VACL で使用する ACL のタイプを選択します。 IPv4 ACL、IPv6 ACL、または MAC ACL を選択できます。

      [ACLs] ドロップダウン リストには、選択したタイプの ACL のうち、選択したデバイス上に現在存在する ACL が含まれています。

    4. [ACLs] ドロップダウン リストから、使用する ACL を選択します。
    5. [Action] ドロップダウン リストから、VACL に一致したトラフィックに対してデバイスで実行するアクションを選択します。
    ステップ 6   メニュー バーの [File] > [Save] を選択して、変更をデバイスに適用します。

    VACL の変更

    VACL を変更できます。

    手順
      ステップ 1   [Feature Selector] ペインで [Security] > [Access Control] > [VLAN ACL] を選択します。

      [Summary] ペインに使用可能なデバイスが表示されます。

      ステップ 2   [Summary] ペインで、変更する VACL が含まれているデバイスをダブルクリックし、VACL をダブルクリックします。
      ステップ 3   (任意)VLAN アクセス マップ エントリを追加するには、メニュー バーで [File] > [New] > [VLAN Access Map Entry] を選択します。

      VACL の下で、新しい VLAN アクセス マップ エントリが [Summary] ペインに表示されます。

      ステップ 4   (任意) 新規または既存の VLAN アクセス マップ エントリを変更するには、次の手順を実行します。
      1. 変更する VLAN アクセス マップ エントリをクリックします。
      2. 必要に応じて、[Details] ペインから [Details] タブをクリックして、[Match Condition And Action] セクションを拡張します。
      3. [Match ACL Type] ドロップダウン リストで、VACL で使用する ACL のタイプを選択します。 IPv4 ACL、IPv6 ACL、または MAC ACL を選択できます。

        [ACLs] ドロップダウン リストには、選択したタイプの ACL のうち、選択したデバイス上に現在存在する ACL が含まれています。

      4. [ACLs] ドロップダウン リストから、使用する ACL を選択します。
      5. [Action] ドロップダウン リストから、VACL に一致したトラフィックに対してデバイスで実行するアクションを選択します。
      ステップ 5   (任意) VACL 内の別の位置に VLAN アクセス マップ エントリを移動する場合は、[Summary] ペインでエントリをクリックしてから、メニュー バーで次のいずれかを適宜選択します。
      • [Actions] > [Move Up]
      • [Actions] > [Move Down]

      選択に従って、エントリの位置が入れ替わり、エントリに設定されたシーケンス番号が増減します。

      ステップ 6   VLAN アクセス マップ エントリを削除するには、VLAN アクセス マップ エントリをクリックして [Actions] > [Delete] を選択します。
      ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

      VACL または VLAN アクセス マップ エントリの削除

      VACL を削除できます。これにより、VLAN アクセス マップも削除されます。

      また、VACL から単一の VLAN アクセス マップ エントリを削除することもできます。

      はじめる前に

      その VACL が VLAN に適用されているかどうかを確認します。 で削除できるのは、現在適用されている VACL です。 VACL を削除しても、その VACL が適用されていた VLAN の設定は影響を受けません。 は、削除された VACL を空であると見なします。

      手順
        ステップ 1   [Feature Selector] ペインで [Security] > [Access Control] > [VLAN ACL] を選択します。

        [Summary] ペインに使用可能なデバイスが表示されます。

        ステップ 2   [Summary] ペインで、VACL を削除するをダブルクリックします。

        上にある VACL が [Summary] ペインに表示されます。

        ステップ 3   (任意)VACL を削除する場合は、次の手順を実行します。
        1. 削除する VACL をクリックします。
        2. メニュー バーの [Actions] > [Delete] を選択します。

          [Summary] ペインに VACL が表示されなくなります。

        ステップ 4   (任意)VLAN アクセス マップ エントリを削除する場合は、次の手順を実行します。
        1. 削除するエントリを含む VACL をダブルクリックします。

          VLAN アクセス マップ エントリが VACL の下にリストされます。

        2. 削除する VLAN アクセス マップ エントリをクリックします。
        3. メニュー バーの [Actions] > [Delete] を選択します。

          [Summary] ペインに VLAN アクセス マップ エントリが表示されなくなります。

        ステップ 5   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

        VACL の VLAN への適用

        VACL を VLAN に適用できます。

        はじめる前に

        VACL を適用する際には、その VACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。

        手順
          ステップ 1   [Feature Selector] ペインで [Switching] > [VLAN] を選択します。

          [Summary] ペインに使用可能なデバイスが表示されます。

          ステップ 2   [Summary] ペインで、該当するデバイスをダブルクリックします。

          ダブルクリックしたデバイスの VLAN が [Summary] ペインに表示されます。

          ステップ 3   VACL を適用する VLAN をクリックします。
          ステップ 4   必要に応じて、[Details] ペインから [VLAN Details] タブをクリックして、[Advanced Settings] セクションを拡張します。

          VACL ドロップダウン リストが [Advanced Settings] セクションに表示されます。

          ステップ 5   [VACL] ドロップダウン リストから、適用する VACL を選択します。
          ステップ 6   (任意) メニュー バーの [File] > [Save] を選択して、変更をデバイスに適用します。

          VACL のフィールドの説明

          [VLAN Access Map Entry]:[Details] タブ

          表 1 [VLAN Access Map Entry]:[Details] タブ

          フィールド

          説明

          Sequence Number

          表示のみ。 ルールに割り当てられたシーケンス番号。

          [VLAN Access Map Entry]:[Details]:[Match Condition And Action] セクション

          表 2  [VLAN Access Map Entry]:[Details]:[Match Condition And Action] セクション

          フィールド

          説明

          Match ACL Type

          VLAN アクセス マップ エントリがトラフィックのフィルタリングに使用する ACL のタイプ。 有効な値は次のとおりです。

          • [IPv4 ACL]:これがデフォルト値です。
          • IPv6 ACL
          • MAC ACL.

          ACL

          VLAN アクセス マップがトラフィックのフィルタリングに使用する ACL の名前。 デフォルトでは、このリストは空白です。

          Action

          VLAN アクセス マップ エントリでパケットが許可されたとき、デバイスで実行されるアクション。 有効な値は次のとおりです。

          • [Drop]:パケットの処理を停止してパケットをドロップします。
          • [Forward]:宛先を変更することなくパケットの処理を続行します。 これがデフォルト値です。
          • [Redirect]:パケットの処理を続行しますが、そのパケットは [Redirect Interfaces] ドロップダウン リストで選択したインターフェイスに送信されます。

          Log this entry

          VLAN アクセス マップ エントリによって許可されたパケットを、デバイスがログに記録するかどうか。 このチェックボックスは、[Action] ドロップダウン リストで [Drop] を選択した場合にのみ表示されます。 デフォルトでは、このチェックボックスはオフになっています。

          Redirect Interfaces

          VLAN アクセス マップ エントリによって許可されたパケットの転送先インターフェイス。 このチェックボックスは、[Action] ドロップダウン リストで [Redirect] を選択した場合にのみ表示されます。 デフォルトでは、このリストは空白です。

          VACL に関する追加情報

          標準

          標準

          タイトル

          この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

          VLAN ACL の機能の履歴

          次の表に、この機能のリリースの履歴を示します。

          表 3 VLAN ACL の機能の履歴

          機能名

          リリース

          機能情報

          VLAN ACL

          5.2(1)

          Cisco Nexus 3000 シリーズ スイッチのサポートが追加されました。

          VLAN ACL

          5.1(1)

          Release 5.0 以降、変更はありません。

          VLAN ACL

          5.0(2)

          Release 4.2 以降、変更はありません。

          VLAN アクセス マップ

          4.2(1)

          Release 4.1 以降、変更はありません。