Cisco IOS XE セキュリティ コンフィギュレーショ ン ガイド:データ プレーンのセキュリティ保護
IP アクセス リストの概要
IP アクセス リストの概要
発行日;2012/02/01 | 英語版ドキュメント(2011/04/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

IP アクセス リストの概要

機能情報の確認

目次

IP アクセス リストの概要

IP アクセス リストの利点

アクセス リストを使用する必要がある境界ルータおよびファイアウォール ルータ

アクセス リストの定義

アクセス リストのルール

IP アドレス リストを作成する際に役立つヒント

名前付きまたは番号付きアクセス リスト

標準アクセス リストまたは拡張アクセス リスト

アクセスを制御するためにフィルタできる IP パケット フィールド

アクセス リストのアドレスに対するワイルドカード マスク

アクセス リストのシーケンス番号

アクセス リストのロギング

アクセス リスト ロギングの代替方法

その他の IP アクセス リスト機能

時刻ベースのアクセス リスト

アクセス リストを適用する場所

その他の関連資料

関連マニュアル

標準

MIB

RFC

シスコのテクニカル サポート

IP アクセス リストに関する機能情報

IP アクセス リストの概要

Access Control List(ACL; アクセス コントロール リスト)は、パケット フィルタリングを実行して、ネットワークを介して移動するパケットとその場所を制御します。このような制御によって、ネットワーク トラフィックを制限し、ユーザおよびデバイスのネットワークに対するアクセスを制限し、トラフィックがネットワークから外部に送信されるのを防ぐことで、セキュリティを実現します。IP アクセス リストによって、スプーフィングやサービス拒否攻撃の可能性を軽減し、ファイアウォールを介したダイナミックで一時的なユーザ アクセスが可能になります。

また、IP アクセス リストは、セキュリティ以外の用途にも使用できます。たとえば、帯域幅制御、ルーティング アップデートのコンテンツの制限、ルートの再配布、Dial-on-Demand(DDR; ダイヤルオンデマンド)呼び出しのトリガー、デバッグ出力の制限、Quality of Service(QoS)機能のトラフィックの識別と分類などです。このモジュールでは、IP アクセス リストの概要について説明します。

機能情報の確認

最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「IP アクセス リストに関する機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

IP アクセス リストの概要

このモジュールでは、IP Access Control List(ACL; アクセス コントロール リスト)を設定する前に理解する必要がある次の概念について説明します。ACL はアクセス リストとも呼ばれます。

「IP アクセス リストの利点」

「アクセス リストを使用する必要がある境界ルータおよびファイアウォール ルータ」

「アクセス リストの定義」

「アクセス リストのルール」

「IP アドレス リストを作成する際に役立つヒント」

「名前付きまたは番号付きアクセス リスト」

「標準アクセス リストまたは拡張アクセス リスト」

「アクセスを制御するためにフィルタできる IP パケット フィールド」

「アクセス リストのアドレスに対するワイルドカード マスク」

「アクセス リストのシーケンス番号」

「アクセス リストのロギング」

「その他の IP アクセス リスト機能」

「時刻ベースのアクセス リスト」

「アクセス リストを適用する場所」

IP アクセス リストの利点

Access Control List(ACL; アクセス コントロール リスト)は、パケット フィルタリングを実行して、ネットワークを介して移動するパケットとその場所を制御します。この制御によってユーザおよびデバイスのネットワークに対するアクセスを制限し、セキュリティの手段として利用できます。アクセス リストによってトラフィック数を減らすことで、ネットワーク リソースを節約できます。アクセス リストは、使用方法に応じて多様な利点があります。利点の多くは、次のカテゴリに分類されます。

望ましくないトラフィックまたはユーザのブロック

アクセス リストを使用すると、インターフェイス上の着信パケットまたは発信パケットをフィルタできるため、送信元アドレス、宛先アドレス、またはユーザ認証に基づいてアクセスを制御できます。また、アクセス リストを使用して、ルータ インターフェイスで転送またはブロックするトラフィックの種類を決定することもできます。たとえば、電子メール トラフィックのルーティングを許可し、同時にすべての Telnet トラフィックをブロックすることができます。

DoS 攻撃の可能性の軽減

サービス拒否攻撃の可能性を軽減する方法は多数あります。たとえば、IP 送信元アドレスを指定して、ホスト、ネットワーク、またはユーザからネットワークに対するアクセスを制御できます。パケット内の特定の Time-To-Live(TTL; 存続可能時間)値に基づいてフィルタし、パケットがネットワーク内のルータに到達するまでの最大ホップ数を制御できます。TCP インターセプト機能を設定することで、接続に関する要求でサーバにフラッディングが発生しないようにすることができます。

仮想端末回線に対するアクセスの制御

特定のノードまたはネットワークからのインバウンド vty(Telnet)回線アクセスに基づいて、アクセス リストを配置できます。また、アウトバウンド vty アクセスに基づいてアクセス リストを配置して、他のデバイスに対する Telnet アクセスをブロックまたは許可することもできます。

ルーティング アップデートのコンテンツの制限

アクセス リストによって、送信、受信、または再配布するルーティング アップデートを制御できます。

帯域幅の制御

低速なリンクでアクセス リストを使用すると、過度なトラフィックを回避できます。

QoS 機能のトラフィックの特定または分類

アクセス リストによって WRED または CAR の IP precedence を設定することで、輻輳を回避できます。また、クラスベース Weighted Fair Queuing(WFQ; 均等化キューイング)、プライオリティ キューイング、カスタム キューイングのために輻輳を管理できます。

Dial-on-Demand(DDR; ダイヤルオンデマンド)呼び出しのトリガー

アクセス リストによって、ダイヤルおよび接続解除の基準を適用できます。

デバッグ コマンドの出力の制限

アクセス リストによって、アクセスまたはプロトコルに基づいてデバッグの出力を制限できます。

NAT の制御

アクセス リストによって、Network Address Translation(NAT; ネットワーク アドレス変換)が変換するアドレスを制御できます。

着信 RSH および RCP 要求の認証

Cisco IOS XE ソフトウェアが着信リモート シェル(rsh)プロトコルおよびリモート コピー(rcp)プロトコル要求を受信できるようにするには、認証データベースを設定してルータに対するアクセスを制御する必要があります。アクセス リストによって、データベース認証の設定でローカル ユーザ、リモート ホスト、およびリモート ユーザの識別が簡易になります。

アクセス リストを使用する必要がある境界ルータおよびファイアウォール ルータ

アクセス リストを設定する理由は多数あります。たとえば、アクセス リストを使用して、ルーティング アップデートのコンテンツを制限したり、トラフィック フローを制御したりできます。アクセス リストを設定する最も重要な理由の 1 つは、ネットワークに対するアクセスを制御することで、ネットワークに基本レベルのセキュリティを提供することです。ルータでアクセス リストを設定しない場合、ルータを通過するすべてのパケットは、ネットワークのすべての部分で許可される可能性があります。

アクセス リストで、ネットワークの一部に対してアクセスを許可するホストと、同じ領域に対してアクセスを禁止するホストを設定できます。図 1では、適切なアクセス リストをルータのインターフェイスに適用することで、ホスト A は Human Resources ネットワークに対するアクセスが許可され、ホスト B は Human Resources ネットワークに対するアクセスが禁止されます。

図 1 ネットワークに対するトラフィックのルーティングを回避するトラフィック フィルタ

ファイアウォール ルータにはアクセス リストを使用する必要があります。多くの場合、ファイアウォール ルータは内部ネットワークと外部ネットワーク(インターネット)の間に配置されます。また、ネットワークの 2 つの部分の間に配置されたルータにアクセス リストを使用して、内部ネットワークの特定の部分に発着信するトラフィックを制御できます。

アクセス リストのセキュリティ上の利点を実現するために、場合によっては、少なくとも境界ルータでアクセス リストを設定する必要があります。境界ルータとは、ネットワークのエッジにあるルータです。このようなアクセス リストは、外部ネットワークから、または内部ネットワークのあまり制御されていない領域から、内部ネットワークの機密性が高い領域に対する基本的なバッファとして機能します。このような境界ルータでは、ルータ インターフェイスに設定されている各ネットワーク プロトコルに合わせてアクセス リストを設定する必要があります。インバウンド トラフィック、アウトバウンド トラフィック、またはその両方がインターフェイスでフィルタされるように、アクセス リストを設定できます。

アクセス リストは個々のプロトコル ベースで定義されます。つまり、各プロトコルのトラフィック フローを制御する場合、インターフェイスでイネーブルにするプロトコルごとにアクセス リストを定義する必要があります。

アクセス リストの定義

アクセス リストは、少なくとも 1 つの permit ステートメント、および任意の 1 つまたは複数の deny ステートメントで構成される順次リストです。IP アドレス リストの場合、ステートメントは IP アドレス、上位レイヤの IP プロトコルなどの IP パケットのフィールドに適用できます。アクセス リストは名前または番号で識別および参照されます。アクセス リストはパケット フィルタとして動作し、アクセス リストに定義されている条件に基づいてパケットがフィルタされます。

アクセス リストを設定しても、有効になるのは、アクセス リストがインターフェイスに適用されるか( ip access-group コマンドを使用)、Virtual Terminal Line(VTY; 仮想端末回線)に適用されるか( access-class コマンドを使用)、アクセス リストを受け入れるその他のコマンドで参照されてからです。アクセス リストの用途は多様なので、多くの Cisco IOS XE ソフトウェア コマンドの構文では、アクセス リストへの参照を受け入れています。複数のコマンドから同じアクセス リストを参照できます。

次の設定の抜粋で、先頭の 3 行は branchoffices という IP アクセス リストの例です。これは着信パケットのインターフェイス gigabitEthernet 0/1/0 に適用されます。このインターフェイスにアクセスできるのは、個々の各送信元アドレスとマスク ペアで指定されているネットワーク上の送信元のみです。ネットワーク 172.20.7.0 上の送信元から発信されるパケットの宛先に、制限はありません。ネットワーク 172.29.2.0 上の送信元から発信されるパケットの宛先は、172.25.5.4 にする必要があります。

ip access-list extended branchoffices
10 permit 172.20.7.0 0.0.0.3 any
20 permit 172.29.2.0 0.0.0.255 host 172.25.5.4
!
interface gigabitEthernet 0/1/0
ip access-group branchoffices in

アクセス リストのルール

アクセス リストを作成するときは、次のルールと特性に従います。

1 つのインターフェイス、1 つのプロトコル、1 つの方向につき、1 つのアクセス リストのみが許可されます。

アクセス リストには permit ステートメントを 1 つ以上含める必要があります。そうしないと、他のパケットはすべて拒否されます。

最初に一致が見つかった後は条件のテストが終了するため、条件の順序は重要です。同じ permit ステートメントまたは deny ステートメントでも、順序が異なる場合、ある状況では通過し、別の状況では拒否されるパケットが生じる可能性があります。

コマンドで名前によってアクセス リストを参照し、アクセス リストが存在しない場合、すべてのパケットが通過します。つまり、インターフェイスまたはコマンドに空のアクセス リストを適用すると、すべてのトラフィックが許可されます。

標準のアクセス リストと拡張のアクセス リストの名前は同じにできません。

インバウンド アクセス リストは、ルータに到達するパケットを処理します。着信パケットの処理後に、アウトバウンド インターフェイスへのルーティングが行われます。インバウンド アクセス リストが効率的なのは、フィルタリング テストで拒否されたことでパケットが廃棄される場合、ルーティング検索のオーバーヘッドが抑えられるためです。テストでパケットが許可される場合、ルーティングのために処理されます。インバウンド リストの場合、 許可 とは、インバウンド インターフェイスでパケットの受信後に処理が続行されることを示します。 拒否 とは、パケットが廃棄されることを示します。

アウトバウンド アクセス リストの場合、パケットの処理後にルータから送信されます。着信パケットはアウトバウンド インターフェイスにルーティングされてから、アウトバウンド アクセス リストで処理されます。アウトバウンド リストの場合、 許可 とは、出力バッファに対して送信されることを示し、 拒否 とは、パケットが廃棄されることを示します。

アクセス リストで、ルータに到達するトラフィック、またはルータ経由で送信されるトラフィックは制御できますが、ルータが送信元のトラフィックは制御できません。

IP アドレス リストを作成する際に役立つヒント

意図しない結果を回避し、より効率的で有効なアクセス リストを作成するために役立つヒントを紹介します。

アクセス リストを作成してから、インターフェイス(または別の対象)に適用します。その理由は、存在しないアクセス リストをインターフェイスに適用してから、アクセス リストを設定すると、最初のステートメントが有効になり、それに続く暗黙的な deny ステートメントによって即時のアクセスに問題が発生するおそれがあるためです。

アクセス リストを設定してから適用するもう 1 つの理由は、空のアクセス リストが適用されたインターフェイスはすべてのトラフィックを許可するためです。

すべてのアクセス リストには、少なくとも 1 つの permit ステートメントが必要です。permit がないと、すべてのパケットは拒否され、トラフィックはまったく通過しません。

まだ拒否されていないその他のパケットすべてを許可する場合、ステートメント permit any any を使用します。ステートメント permit any any を使用すると、実質的に、アクセス リストの末尾にある暗黙的な deny ステートメントでその他すべてのパケットが拒否されることを防ぎます。最初のアクセス リスト エントリは permit any any にしないでください。すべてのトラフィックが通過し、以降のテストに到達するパケットがなくなります。 permit any any を指定すると、まだ拒否されていないすべてのトラフィックが通過します。

すべてのアクセス リストは暗黙的な deny ステートメントで終わりますが、明示的な deny ステートメント(たとえば deny ip any any など)を使用することを推奨します。ほとんどのプラットフォームでは、 show access-list コマンドを発行して拒否されるパケット数を表示し、アクセス リストが許可していないパケットに関する詳細情報を調査できます。明示的な deny ステートメントで拒否されたパケットのみがカウントされます。これは、明示的な deny ステートメントによって、より詳細なデータが生成されるためです。

アクセス リストの作成中、または作成後に、エントリを削除する場合があります。

番号付き アクセス リストからはエントリを削除できません。削除しようとすると、アクセス リスト全体が削除されます。エントリを削除する必要がある場合、アクセス リスト全体を削除してから最初から作り直す必要があります。

名前付き アクセス リストからはエントリを削除できます。 no permit または no deny コマンドを使用して、該当するエントリを削除します。

個々のステートメントの用途をひと目で確認および理解しやすくするために、 remark コマンドを使用して、ステートメントの前後に役立つ注記を書き込むことができます。

特定のホストまたはネットワークに対するアクセスを拒否し、そのネットワークまたはホストの誰かがアクセスしようとしたかどうかを検出する場合、対応する deny ステートメントを指定した log キーワードを含めます。それによって、その送信元からの拒否されたパケットがログに記録されます。

このヒントは、アクセス リストの配置に適用されます。リソースを保存しようとすると、インバウンド アクセス リストでは常にフィルタ条件を適用した 後に 、ルーティング テーブルの検索を行います。アウトバウンド アクセス リストではフィルタ条件を適用する 前に 、ルーティング テーブルの検索を行います。

名前付きまたは番号付きアクセス リスト

すべてのアクセス リストは、名前または番号で識別されます。名前付きアクセス リストと番号付きアクセス リストはコマンド構文が異なります。名前付きアクセス リストは、番号付きアクセス リストよりも便利です。用途を思いだしやすく関連性がある、わかりやすい名前を指定できるためです。名前付きアクセス リストでは、ステートメントの順序を変更したり、ステートメントを追加したりできます。

名前付きアクセス リストは番号付きアクセス リストよりも新しく、番号付きアクセス リストではサポートされていない次の機能をサポートします。

TCP フラグ フィルタリング

IP オプション フィルタリング

非隣接ポート

no permit または no deny コマンドでエントリを削除する機能

番号付きアクセス リストを受け入れるコマンドの中には、名前付きアクセス リストを受け入れないコマンドがあります。たとえば、仮想端末回線では番号付きアクセス リストのみが使用されます。

標準アクセス リストまたは拡張アクセス リスト

すべてのアクセス リストは、標準アクセス リストまたは拡張アクセス リストです。送信元アドレスのみをフィルタする予定の場合、より簡易な標準アクセス リストで十分です。送信元アドレス以外のアドレスをフィルタする場合、拡張アクセス リストが必要です。

名前付きアクセス リストは、 ip access-list コマンド構文のキーワード standard または extended に基づいて標準か拡張かが決まります。

番号付きアクセス リストは、 access-list コマンド構文の番号に基づいて標準か拡張かが決まります。標準 IP アクセス リストには 1 ~ 99 または 1300 ~ 1999 の番号が付けられ、拡張 IP アクセス リストには 100 ~ 199 または 2000 ~ 2699 の番号が付けられます。標準 IP アクセス リストの範囲は、当初は 1 ~ 99 のみでしたが、1300 ~ 1999 の範囲に拡張されました(間の番号は他のプロトコルに割り当てられました)。拡張アクセス リストの範囲も同様に拡張されました。

標準アクセス リスト

標準アクセス リストは、パケットの送信元アドレスのみをテストします(ただし 2 つの例外があります)。標準アクセス リストは送信元アドレスをテストするため、宛先の近くでトラフィックをブロックする際には効率的です。標準アクセス リストのアドレスが送信元アドレスではない例外が 2 つあります。

アウトバウンド VTY アクセス リストでは、誰かが Telnet を実行しようとすると、アクセス リスト エントリのアドレスは、送信元アドレスではなく宛先アドレスとして使用されます。

ルートをフィルタする場合、送信元アドレスではなくアドバタイズされたネットワークがフィルタされます。

拡張アクセス リスト

拡張アクセス リストは、任意の場所のトラフィックをブロックするために適しています。拡張アクセス リストは、送信元アドレス、宛先アドレス、およびその他の IP パケット データをテストします。たとえば、プロトコル、TCP または UDP ポート番号、Type of Service(ToS; タイプ オブ サービス)、TCP フラグ、IP オプション、TTL 値などです。また、拡張アクセス リストには、次のように標準アクセス リストにはない機能があります。

IP オプションのフィルタリング

TCP フラグのフィルタリング

パケットの非初期フラグメントのフィルタリング(「IP アクセス リストの精緻化」モジュールを参照してください)

時刻ベースのエントリ(「時刻ベースのアクセス リスト」および「IP アクセス リストの精緻化」モジュールを参照してください)


) 拡張アクセス リストの対象となるパケットは、自律的に切り替えられません。


アクセスを制御するためにフィルタできる IP パケット フィールド

拡張アクセス リストを使用すると、IP パケットに含まれる次の任意のフィールドについてフィルタできます。送信元アドレスおよび宛先アドレスは、アクセス リストの基礎として最もよく指定される 2 つのフィールドです。

送信元アドレス:特定のネットワーク デバイスまたはホストから送信されるパケットを制御するために、送信元アドレスを指定します。

宛先アドレス:特定のネットワーク デバイスまたはホストに対して送信されるパケットを制御するために、宛先アドレスを指定します。

プロトコル:キーワード eigrp gre icmp igmp ip ipinip nos ospf tcp 、または udp で示される IP プロトコル、または 0 ~ 255 の範囲の整数(インターネット プロトコルを示します)で示される IP プロトコルを指定します。トランスポート層プロトコル( icmp igmp tcp 、または udp )を指定する場合、コマンドはその固有の構文になります。

ポートおよび非隣接ポート:ポート名またはポート番号で TCP または UDP ポートを指定します。ポート番号に非隣接ポート番号は指定できません。ポート番号は、Telnet トラフィックや HTTP トラフィックなどをフィルタする際に有効です。

TCP フラグ:TCP パケットに設定された任意のフラグまたはすべてのフラグにパケットが一致することを指定します。特定のフラグについてフィルタすることで、不正な同期パケットを回避できます。

IP オプション:IP オプションを指定します。IP オプションに基づいてフィルタする理由の 1 つは、IP オプションを含む偽造パケットでルータが飽和状態にならないようにするためです。

TTL 値:演算子と、任意で値の範囲によって示される TTL 値を指定します。TTL 値に基づくフィルタリングでは、送信元から宛先までのホップ数に基づいて、インターフェイスに到達できるパケットを制御できます。また、このようなフィルタリングによって、パケットがプロセス レベルに到達しないようにできます。

アクセス リストのアドレスに対するワイルドカード マスク

アドレス フィルタリングでは、アクセス リスト エントリ内のアドレス ビットとアクセス リストに送信されるパケットを比較するときに、対応する IP アドレスを確認するか無視するかをソフトウェアに示すために、ワイルドカード マスクを使用します。注意してワイルドカード マスクを設定することで、許可または拒否テストのために 1 つまたは複数の IP アドレスを指定できます。

IP アドレス ビット用のワイルドカード マスクでは、数値 1 と数値 0 を使用して、対応する IP アドレス ビットをソフトウェアで扱う方法を指定します。1 と 0 は、サブネット(ネットワーク)マスクで意味する内容が対照的なため、ワイルドカード マスクは逆マスクとも呼ばれます。

ワイルドカード マスク ビット 0 は、対応するビット値を 確認 することを示します。ビット値は一致する必要があります。

ワイルドカード マスク ビット 1 は、対応するビット値を 無視 することを示します。ビット値が一致する必要はありません。

アクセス リスト ステートメントの送信元アドレスまたは宛先アドレスでワイルドカード マスクを指定しない場合、0.0.0.0(すべての値が一致する必要があることを示します)という暗黙的なワイルドカード マスクが想定されます。

サブネット マスクでは、ネットワークとサブネットを示す隣接ビットをマスクにする必要がありますが、それとは異なり、ワイルドカード マスクではマスクに非隣接ビットを使用できます。

表 1 に、アクセス リストの IP アドレスおよびマスクと、それに一致すると見なされる対応するアドレスの例を示します。

 

表 1 IP アドレス、ワイルドカード マスク、および一致する結果の例

アドレス
ワイルドカード マスク
一致する結果

0.0.0.0

255.255.255.255

すべてのアドレスはアクセス リスト条件に一致します

172.18.0.0/16

0.0.255.255

ネットワーク 172.18.0.0

172.18.5.2/16

0.0.0.0

ホスト 172.18.5.2 のみが一致します

172.18.8.0

0.0.0.7

サブネット 172.18.8.0/29 のみが一致します

172.18.8.8

0.0.0.7

サブネット 172.18.8.8/29 のみが一致します

172.18.8.15

0.0.0.3

サブネット 172.18.8.15/30 のみが一致します

10.1.2.0

0.0.252.255(マスクの非隣接ビット)

10.1.2.0 ~ 10.1.254.0 に含まれる偶数のネットワークに一致します

アクセス リストのシーケンス番号

IP アクセス リスト エントリにシーケンス番号を適用する機能によって、アクセス リストの変更が簡易になります。IP アクセス リスト エントリ シーケンス番号機能の前には、アクセス リスト内のエントリの位置を指定する方法はありませんでした。以前は、既存のリストの途中にエントリを挿入する場合、目的の位置の後にあるすべてのエントリを削除してから、新しいエントリを追加し、削除したすべてのエントリを再入力する必要がありました。これは手間がかかり、エラーが起こりやすい方法です。

この新しい機能を使用すると、アクセス リスト エントリにシーケンス番号を追加し、順序を変更することができます。新しいエントリを追加する場合、アクセス リストの目的の位置に挿入されるようにシーケンス番号を指定します。必要に応じて、アクセス リストの現在のエントリ順序を変更して、新しいエントリを挿入できる余地を作成します。

アクセス リストのロギング

Cisco IOS XE ソフトウェアには、単一の標準または拡張 IP アクセス リスト エントリで許可または拒否されたパケットに関するロギング メッセージ機能があります。つまり、パケットがエントリに一致する場合は常に、パケットに関する情報を提供するロギング メッセージがコンソールに送信されます。コンソールにロギングするメッセージのレベルは、 logging console グローバル コンフィギュレーション コマンドで制御します。

アクセス リスト エントリをトリガーする最初のパケットによって、即時にロギング メッセージが作成され、表示またはロギングされるまで、以降のパケットは 5 分間隔で収集されます。ロギング メッセージには、アクセス リスト番号、パケットが許可されたか拒否されたか、パケットの送信元アドレス、および過去 5 分間隔で許可または拒否されたその送信元からのパケット数が含まれます。

ただし、 ip access-list log-update コマンドを使用して、アクセス リストに一致する場合(さらに許可または拒否される場合)に、システムでログ メッセージを生成するパケットの数を設定できます。この手順を実行するのは、5 分間隔よりも短い頻度でログ メッセージを受信する場合です。


注意 number-of-matches 引数を 1 に設定すると、ログ メッセージはキャッシュされずにただちに送信されます。この場合、アクセス リストに一致するパケットごとにログ メッセージが発生します。大量のログ メッセージでシステムが過負荷になる可能性があるため、1 に設定することは推奨されません。

ip access-list log-update コマンドを使用する場合でも、5 分タイマーは有効なままなので、各キャッシュのメッセージ数に関係なく、5 分が経過すると各キャッシュは空になります。しきい値が指定されていない場合と同様に、ログ メッセージを送信するタイミングに関係なく、ログ メッセージのキャッシュは消去され、カウントは 0 にリセットされます。


) ロギング メッセージが多すぎて処理できない場合、または 1 秒以内に処理する必要があるロギング メッセージが複数ある場合、ロギング設備ではロギング メッセージ パケットの一部をドロップすることがあります。この動作によって、ロギング パケットが多すぎてルータがクラッシュすることを回避します。そのため、課金ツールや、アクセス リストと一致する数の正確な情報源としてロギング設備をを使用しないでください。


アクセス リスト ロギングの代替方法

ログ オプションを使用した ACL 内のエントリのパケット マッチングは代替のプロセスです。ACL でログ オプションを使用することは推奨されません。Null0 の宛先インターフェイスで NetFlow エクスポートおよびマッチングを使用することを推奨します。これは CEF パスで実行されます。Null0 の宛先インターフェイスは、ACL によってドロップされるすべてのパケット用に設定されます。

その他の IP アクセス リスト機能

標準または拡張アクセス リストを作成する基本手順以外に、次のようにアクセス リストを強化できます。これらの各方法の詳細については、「 Refining an Access List 」モジュールを参照してください。

拡張アクセス リストの permit ステートメントまたは deny ステートメントを有効にする日時を指定し、アクセス リストを細かくし、絶対的または定期的な期間に限定することができます。

名前付きアクセス リストの作成後は、エントリを追加したり、エントリの順序を変更したりできます(これはアクセス リストのシーケンス番号再割り当てとも呼ばれます)。

パケットの非初期フラグメントについてフィルタすることで、パケットをフィルタするときにより細かい精度を達成できます。

時刻ベースのアクセス リスト

時刻ベースのアクセス リストでは、その日または週の特定の時刻に基づいて、アクセス リスト エントリを実装します。これは、アクセス リスト エントリを常に有効にしない場合、または適用されるとすぐに有効にする場合に適した方法です。時刻と日付に基づいて許可または拒否条件の実施を細かくするには、時刻ベースのアクセス リストを使用します。

アクセス リストを適用する場所

アクセス リストをインターフェイスに適用する場合、 in (インバウンド)と out (アウトバウンド)のいずれを指定するかについては慎重に考慮してください。着信または発信インターフェイスに対してアクセス リストを適用して、ルータのインターフェイスで発着信するトラフィックまたはプロセス レベルを制御します(TTL 値に基づいてフィルタする場合)。

インバウンド アクセス リストをインターフェイスに適用すると、ソフトウェアはパケットを受信した後に、アクセス リスト ステートメントに対してパケットを確認します。アクセス リストでパケットが許可されている場合、ソフトウェアはパケットの処理を続行します。結果として、着信パケットに関するフィルタリングによって、フィルタされたパケットはルータを通過しないため、ルータ リソースを節約できます。

アウトバウンド パケットに適用するアクセス リストは、ルータをすでに通過したパケットをフィルタします。アクセス リストに合格したパケットは、インターフェイスから伝送(送信)されます。

Rate-Based Satellite Control Protocol(RBSCP)の TCP ACL 分割機能は、発信インターフェイスで使用できる機能の一例です。アクセス リストで、TCP ACK 分割の対象となるパケットを制御します。

インターフェイスに適用する以外の方法でもアクセス リストを使用できます。次に、アクセス リストを適用できるその他の場所を示します。

debug コマンドからアクセス リストを参照すると、表示される情報量は、アクセス リストで許可されている情報にのみ限定されます。たとえば、送信元、宛先、プロトコルなどです。

アクセス リストは、ルーティング アップデートの制御、Dial-on-Demand Routing(DDR; ダイヤルオンデマンド ルーティング)の制御、および Quality of Service(QoS)機能の制御などに使用できます。これらの機能にアクセス リストを使用する方法については、該当する設定の章を参照してください。

その他の関連資料

ここでは、IP アクセス リストに関する関連資料について説明します。

関連マニュアル

内容
参照先

IP アクセス リスト コマンド:コマンド構文、コマンド モード、コマンド履歴、デフォルト設定、使用に関する注意事項および例

『Cisco IOS IP Application Services Command Reference』

送信元アドレス、宛先アドレス、またはプロトコルに基づくフィルタリング

Creating an IP Access List and Applying It to an Interface

IP オプション、TCP フラグ、非隣接ポート、または TTL に基づくフィルタリング

Creating an IP Access List to Filter IP Options, TCP Flags, or Noncontiguous Ports

標準

標準
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

IP アクセス リストに関する機能情報

表 2 に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 2 に、特定の Cisco IOS XE ソフトウェア リリース群で特定の機能をサポートする Cisco IOS XE ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS XE ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 2 IP アクセス リストに関する機能情報

機能名
リリース
機能の設定情報

IP 名前付きアクセス コントロール リスト

Cisco IOS XE Release 2.1

この機能は、Cisco ASR 1000 シリーズの集約サービス ルータで導入されました。

Copyright © 2006-2011, シスコシステムズ合同会社.
All rights reserved.