Cisco ONS 15454 SONET/SDH ML シリーズ マルチレイヤ イーサネット カード ソフトウェア フィーチャ コンフィギュレーション ガイド
ACL の設定
ACL の設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ACL の設定

ACL の概要

ML-Series における ACL サポート

IP ACL

名前付き IP ACL

ユーザ ガイドライン

IP ACL の作成

番号付き標準および拡張 IP ACL の作成

名前付き標準 IP ACL の作成

名前付き拡張 IP ACL の作成(コントロール プレーン専用)

ACL のインターフェイスへの適用

ACL TCAM サイズの変更

ACL の設定

この章では、ML-Series カードに内蔵されている Access Control List(ACL; アクセス コントロール リスト)について説明します。

この章の主な内容は次のとおりです。

「ACL の概要」

「ML-Series における ACL サポート」

「ACL TCAM サイズの変更」

ACL の概要

ACL は、ネットワークの制御とセキュリティを実現する機能で、ML-Series のインターフェイスに出入りするパケットのフローをフィルタリングできます。フィルタとも呼ばれる ACL により、特定のユーザや装置によるネットワークの使用を制限できます。ACL はプロトコルごとに作成し、着信トラフィックまたは発信トラフィックのどちらか一方のインターフェイスに適用します。ACL はコントロール プレーン発信トラフィックには適用されません。1 つの方向、1 つのサブインターフェイスごとに適用できる ACL フィルタは 1 つだけです。

ACL を作成する場合は、ML-Series カードが処理する各パケットに適用する基準を定義します。これによって ML-Series カードでは、パケットがリストの基準に一致するかどうかに基づいて、パケットを転送するか、ブロックするかを決定します。リストのどの基準にも一致しないパケットは、各 ACL の末尾にある暗黙的な「deny all traffic」基準文によって、自動的にブロックされます。

ML-Series における ACL サポート

コントロール プレーン ACL とデータ プレーン ACL は、どちらも次の ML-Series カードでサポートされます。

コントロール プレーン ACL:ML-Series カードの CPU によって処理されるコントロール データをフィルタするための ACL(たとえば、ルーティング情報の配布、Internet Group Membership Protocol(IGMP; インターネット グループ管理プロトコル)加入など)。

データ プレーン ACL:ハードウェア内の ML Series を使用してルーティングまたはブリッジされているユーザ データをフィルタするための ACL(たとえば、ホストへのアクセスの拒否など)。データ プレーン ACL は、ip access-group コマンドを使用して入力方向または出力方向のインターフェイスに適用されます。

データ プレーン ACL を ML-Series カード上で使用する際には、次の制限があります。

ACL は、ブリッジされているインターフェイスを含む、あらゆる種類のインターフェイスでサポートされます。

再帰的 ACL とダイナミック ACL は、ML-Series カードではサポートされません。

アクセス違反のアカウンティングは、ML-Series カードではサポートされません。

ACL のロギングは、交換されたパケットではなく、CPU に送信するパケットに対してのみサポートされます。

ブリッジされた出力インターフェイスに適用された IP 標準 ACL は、データ プレーンではサポートされません。ブリッジの場合は、ACL は入力側でのみサポートされます。

IP ACL

IP では、次のような ACL スタイルがサポートされています。

標準 IP ACL:ソース アドレスを使用してマッチングを行います。

拡張 IP ACL(コントロール プレーン専用):宛先アドレスを使用してマッチングを行います。さらに細かく制御するためには、オプションとしてプロトコル タイプとポート番号を使用します。

名前付き ACL:ソース アドレスを使用してマッチングを行います。


) デフォルトでは、ACL の末尾には、そこに到達する前に一致するものが見つからなかった場合のための暗黙的な拒否文があります。標準 ACL では、関連付けられた IP ホスト アドレス ACL 仕様からマスクが削除されていると、マスクが 0.0.0.0 であるとみなされます。


ACL を作成したら、その ACL をインターフェイスに適用する必要があります。「ACL のインターフェイスへの適用」を参照してください。

名前付き IP ACL

IP ACL は名前で特定できます。ただし、名前は英数字の文字列である必要があります。名前付き IP ACL を使用すると、番号付き ACL の場合よりも多くの IP ACL を単一ルータに構成できます。数値の文字列ではなく英字の文字列で ACL を特定する場合は、モードとコマンドの構文が多少異なります。

次の事項を検討してから名前付き ACL を構成してください。

標準 ACL と拡張 ACL に同じ名前を付けることができません。

番号付き ACL も利用できます。「番号付き標準および拡張 IP ACL の作成」を参照してください。

ユーザ ガイドライン

IP ネットワークのアクセス制御を設定するときは、次のことに留意してください。

Ternary Content Addressable Memory(TCAM)内に ACL エントリをプログラムできます。

ACL の末尾には、すべてを拒否する文が暗黙的に指定されているため、入力する必要がありません。

ACL エントリはどのような順序で入力しても、パフォーマンスに影響しません。

8 個の TCAM エントリごとに、ML-Series カードは TCAM の管理用のエントリを 1個使用します。

パケット損失を引き起こす条件を設定しないでください。パケット損失は、パケットを拒否する ACL が設定されたサービスがネットワーク上でアドバタイズするように、装置またはインターフェイスが設定されている場合に発生します。

IP ACLは、ダブルタグ (QinQ) パケットに対してサポートされていません。ただし、IP ACL は QinQ アクセス ポートに着信する IP パケットに対して適用されます。

IP ACL の作成

ここでは、番号付き標準 IP ACL、拡張 IP ACL、および名前付き標準 IP ACL の作成方法について説明します。

「番号付き標準および拡張 IP ACL の作成」

「名前付き標準 IP ACL の作成」

「名前付き拡張 IP ACL の作成(コントロール プレーン専用)」

「ACL のインターフェイスへの適用」

番号付き標準および拡張 IP ACL の作成

表 15-1 には、番号付き標準 IP ACL と拡張 IP ACL の作成に使用するグローバル設定コマンドを示します。

 

表 15-1 番号付き標準および拡張 IP ACL のコマンド

コマンド
目的
Router(config)# access-list access-list-number
{ deny | permit } source [ source-wildcard ]

ソース アドレスとワイルドカードを使用して標準 IP ACL を定義します。

Router(config)# access-list access-list-number { deny | permit }
any

0.0.0.0 255.255.255.255 というソースとソース マスクの省略形を使用して標準 IP ACL を定義します。

Router(config)# access-list access-list-number { deny | permit } protocol source source-wildcard destination destination-wildcard [ precedence precedence ] [ tos tos ]

拡張 IP ACL 番号とアクセス条件を定義します。

Router(config)# access-list access-list-number { deny | permit } protocol any any
 

0.0.0.0 255.255.255.255 というソースとソース ワイルドカードの省略形 と、0.0.0.0 255.255.255.255 という宛先と宛先ワイルドカードの省略形 を使用して、拡張 IP ACL を定義します。

Router(config)# access-list access-list-number { deny | permit } protocol host source host destination

source 0.0.0.0 というソースとソース ワイルドカードの省略形と、destination 0.0.0.0 という宛先と宛先ワイルドカードの省略形 を使用して、拡張 IP ACL を定義します。

名前付き標準 IP ACL の作成

名前付き標準 IP ACL を作成するには、グローバル設定モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

Router(config)# ip access-list standard name

英字の名前を使用して標準 IP ACL を定義します。

ステップ 2

Router(config-std-nac1)# deny { source [ source-wildcard ] | any }

または

permit { source [ source-wildcard ] | any }

アクセス リスト設定モードで、許可または拒否する条件を 1 つ以上指定します。これによって、パケットをパスするか、ドロップするかが決定します。

ステップ 3

Router(config)# exit

アクセス リスト設定モードを終了します。

名前付き拡張 IP ACL の作成(コントロール プレーン専用)

名前付き拡張 IP ACL を作成するには、グローバル設定モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

Router(config)# ip access-list extended name

英字の名前を使用して拡張 IP ACL を定義します。

ステップ 2

Router(config-ext-nacl)# { deny | permit } protocol source source-wildcard destination destination-wildcard [ precedence precedence ] [ tos tos ]

or

{ deny | permit } protocol any any
 
or

{ deny | permit } protocol host source host destination

アクセス リスト設定モードで、許可または拒否する条件を指定します。
または
0.0.0.0 255.255.255.255 というソースとソース ワイルドカードの省略形と、0.0.0.0 255.255.255.255 という宛先と宛先ワイルドカードの省略形 を使用して、拡張 IP ACL を定義します。
または
source 0.0.0.0 というソースとソース ワイルドカードの省略形と、 destination 0.0.0.0 という宛先と宛先ワイルドカードの省略形を使用して、拡張 IP ACL を定義します。

ACL のインターフェイスへの適用

ACL を作成したら、その ACL を 1 つ以上のインターフェイスに適用できます。ACL を適用できるのは、インターフェイスの着信方向または送信方向のどちらか一方です。インターフェイスへのアクセスを制御するには、名前または番号を使用します。標準 ACL を適用した場合、ML-Series カードはソース IP アドレスを ACL と比較します。ACL を 1 つ以上のインターフェイスに適用するには、 表 15-2 に示すコマンドを使用します。


) Bridge Group Virtual Interface(BVI; ブリッジ グループ仮想インターフェイス)の入力側に適用されている IP 標準 ACL は、BVI 入力トラフィックだけでなく、関連付けられたブリッジ グループ内のブリッジされたすべての IP トラフィックに適用されます。


 

表 15-2 ACL のインターフェイスへの適用

コマンド
目的
ip access-group { access-list-number | name} { in | out }

インターフェイスへのアクセスを制御します。

ACL TCAM サイズの変更

TCAM サイズを変更するには、 sdm access-list コマンドを入力します。ACL TCAM サイズの詳細については、「TCAM のアクセス コントロール リストのサイズ設定」を参照してください。例15-1には、ACL の変更と確認の例を示します。


) ACL TCAM サイズを増やすには、IP、IP マルチキャスト、L2 スイッチングなどの別の領域の TCAM サイズを縮小する必要があります。



注意 次のエラー メッセージが表示された場合は、TCAM サイズの拡大が必要です。

Warning:Programming TCAM entries failed
Please remove last ACL command to re-activate ACL operation.
!<ACL number or name> <IP or IPX> <INPUT_ACL or OUTPUT_ACL> from TCAM group for !<interface>
Please see the documentation to see if TCAM space can be
increased on this platform to alleviate the problem.

例15-1 ACL の監視と確認

Router# show ip access-lists 1
Standard IP access list 1
permit 192.168.1.1
permit 192.168.1.2