Cisco IOS XE セキュリティ コンフィギュレーショ ン ガイド:データ プレーンのセキュリティ保護
ACL IP オプションの選択的ドロップ
ACL IP オプションの選択的ドロップ
発行日;2012/02/01 | 英語版ドキュメント(2011/04/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ACL IP オプションの選択的ドロップ

機能情報の確認

目次

ACL IP オプションの選択的ドロップに関する制約事項

ACL IP オプションの選択的ドロップに関する情報

ACL IP オプションの選択的ドロップの使用

ACL IP オプションの選択的ドロップを使用する利点

ACL IP オプションの選択的ドロップの設定方法

ACL IP オプションの選択的ドロップの設定

ACL IP オプションの選択的ドロップの設定例

ACL IP オプションの選択的ドロップの設定:例

ACL IP オプションの選択的ドロップの確認:例

その他の関連資料

関連マニュアル

標準

MIB

RFC

シスコのテクニカル サポート

ACL IP オプションの選択的ドロップの機能情報

ACL IP オプションの選択的ドロップ

ACL IP オプションの選択的ドロップ機能を使用すると、Cisco ルータが IP オプションが設定されたパケットをフィルタしたり、ルータまたはダウンストリーム ルータ上での IP オプションの影響を軽減したりすることができるようになります。これは、これらのパケットをドロップするか、IP オプションの処理を無視することによって行われます。

機能情報の確認

最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「ACL IP オプションの選択的ドロップの機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS XE ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

ACL IP オプションの選択的ドロップに関する制約事項

Resource Reservation Protocol(RSVP; リソース予約プロトコル)Multiprotocol Label Switching Traffic Engineering(MPLS TE; マルチプロトコル ラベル スイッチング トラフィック エンジニアリング)、Internet Group Management Protocol Version 2(IGMPV2; インターネット グループ管理プロトコル バージョン 2)、および IP オプション パケットを使用するその他のプロトコルは、ドロップまたは無視モードでは機能しない可能性があります。

ACL IP オプションの選択的ドロップに関する情報

ACL IP オプションの選択的ドロップ機能を設定する前に、次の概念について理解しておく必要があります。

「ACL IP オプションの選択的ドロップの使用」

「ACL IP オプションの選択的ドロップを使用する利点」

ACL IP オプションの選択的ドロップの使用

ACL IP オプションの選択的ドロップ機能を使用すると、IP オプションが設定されたパケットをルータでフィルタできるようになります。これにより、これらのパケットのルータまたはダウンストリーム ルータへの影響を軽減し、次の手順を実行できます。

受信した IP オプション パケットをすべてドロップし、オプションがネットワークの奥深くまで入り込まないようにします。

そのルータ宛ての IP オプション パケットを無視し、IP オプションが設定されていないものとして扱います。

多くのユーザにとっては、パケットのドロップが最善策であると言えます。ただし、正規の IP オプションが存在する可能性のある環境では、ルータ上のパケットのロード処理を減らすだけで十分です。したがって、ルータ上のオプション処理をスキップしたうえで、ピュア IP であるかのうようにパケットを転送することができます。

ACL IP オプションの選択的ドロップを使用する利点

ドロップ モードでは、ネットワークからのパケットをフィルタすることで、オプション パケットからロードするというダウンストリーム ルータおよびホストの負荷を軽減できます。

ドロップ モードでは、分散システム上での Route Processor(RP; ルート プロセッサ)処理が必要となるオプションの RP へのロードが最小限に抑えられます。以前は、パケットは常に RP CPU でルーティングまたは処理されていました。現在は、無視またはドロップすることで、パケットが RP パフォーマンスに影響を及ぼすことを回避できます。

ACL IP オプションの選択的ドロップの設定方法

ここでは、次の設定情報について説明します。

「ACL IP オプションの選択的ドロップの設定」

ACL IP オプションの選択的ドロップの設定

ここでは、ACL IP オプションの選択的ドロップ機能を設定する方法について説明します。

手順の概要

1. enable

2. configure terminal

3. ip options { drop | ignore }

4. exit

5. show ip traffic

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip options { drop | ignore }

 

Router(config)# ip options drop

ルータに送信された IP オプション パケットをドロップまたは無視します。

ステップ 4

exit

 

Router(config)# exit

特権 EXEC モードに戻ります。

ステップ 5

show ip traffic

 

Router# show ip traffic

(任意)IP トラフィックの統計情報を表示します。

ACL IP オプションの選択的ドロップの設定例

ここでは、次の設定例について説明します。

「ACL IP オプションの選択的ドロップの設定:例」

「ACL IP オプションの選択的ドロップの確認:例」

ACL IP オプションの選択的ドロップの設定:例

次に、ネットワークに入ったすべてのオプション パケットをドロップするように、ルータ(およびダウンストリーム ルータ)を設定する例を示します。

Router(config)# ip options drop
 
% Warning:RSVP and other protocols that use IP Options packets may not function in drop or ignore modes.
end
 

ACL IP オプションの選択的ドロップの確認:例

この出力例は、 ip options drop コマンドを使用した後に表示されます。

Router# show ip traffic
 
IP statistics:
Rcvd: 428 total, 323 local destination
0 format errors, 0 checksum errors, 0 bad hop count
0 unknown protocol, 0 not a gateway
0 security failures, 0 bad options, 0 with options
Opts: 0 end, 0 nop, 0 basic security, 0 loose source route
0 timestamp, 0 extended security, 0 record route
0 stream ID, 0 strict source route, 0 alert, 0 cipso, 0 ump
0 other, 30 ignored
Frags: 0 reassembled, 0 timeouts, 0 couldn't reassemble
0 fragmented, 0 fragments, 0 couldn't fragment
Bcast: 0 received, 0 sent
Mcast: 323 received, 809 sent
Sent: 809 generated, 591 forwarded
Drop: 0 encapsulation failed, 0 unresolved, 0 no adjacency
0 no route, 0 unicast RPF, 0 forced drop, 0 unsupported-addr
0 options denied, 0 source IP address zero
 

その他の関連資料

ここでは、ACL IP オプションの選択的ドロップに関する関連資料について説明します。

関連マニュアル

内容
参照先

IP アクセス リスト コマンド

『Cisco IOS Security Command Reference』

アクセス リストを使用した IP オプションのフィルタリング

『Creating an IP Access List to Filter IP Options, TCP Flags, or Noncontiguous Ports』

標準

標準
タイトル

この機能によりサポートされた新規標準または改訂標準はありません。またこの機能による既存標準のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

ACL IP オプションの選択的ドロップの機能情報

表 1 に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS XE ソフトウェア リリース群で特定の機能をサポートする Cisco IOS XE ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS XE ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 1 ACL IP オプションの選択的ドロップの機能情報

機能名
リリース
機能情報

ACL IP オプションの選択的ドロップ

Cisco IOS XE Release 2.1

ACL IP オプションの選択的ドロップ機能を使用すると、Cisco ルータが IP オプションが設定されたパケットをフィルタしたり、ルータまたはダウンストリーム ルータ上での IP オプションの影響を軽減したりすることができるようになります。これは、これらのパケットをドロップするか、IP オプションの処理を無視することによって行われます。

この機能は、Cisco ASR 1000 シリーズの集約サービス ルータで導入されました。

この機能に関する詳細については、次の各項を参照してください。

「ACL IP オプションの選択的ドロップの使用」

「ACL IP オプションの選択的ドロップを使用する利点」

「ACL IP オプションの選択的ドロップの設定」

次のコマンドが導入されました。 ip options