Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 12.2SX
VACLの設定
VACLの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

VACLの設定

VACLの概要

VACLの概要

ブリッジド パケット

ルーティング対象パケット

マルチキャスト パケット

VACLの設定

VACLの設定の概要

VLANアクセス マップの定義

VLANアクセス マップ シーケンスでのmatchコマンドの設定

VLANアクセス マップ シーケンスでのactionコマンドの設定

VLANアクセス マップの適用

VLANアクセス マップの設定の確認

VLANアクセス マップの設定および確認の例

キャプチャ ポートの設定

VACLログ機能の設定

VACLの設定

この章では、Cisco 7600シリーズ ルータでVLAN(仮想LAN) Access Control List(ACL;アクセス制御リスト)(VACL)を設定する手順を説明します。

「VACLの概要」

「VACLの設定」

「VACLログ機能の設定」


) • Supervisor Engine 720およびRelease 12.2(17d)SXB以前の場合、VACLキャプチャは、
WS-SVC-IDSM2-K9 Intrusion Detection System Module 2(IDSM2)および
WS-SVC-NAM-2/WS-SVC-NAM-1ネットワーク解析モジュールとともに使用する場合にのみサポートされます。この制限事項は、Release 12.2(17d)SXB以降では解消されています。

OALキャプチャとVACLキャプチャには互換性がありません。ルータで両方の機能を混同しないでください。OALが設定されている場合は( Supervisor Engine 720でのOALを参照)、SPANを使用してトラフィックをキャプチャします。


 

VACLの概要

ここではVACLについて説明します。

「VACLの概要」

「ブリッジド パケット」

「ルーティング対象パケット」

「マルチキャスト パケット」

VACLの概要

VACLは、VLAN内でブリッジされるか、VLANまたはVACLキャプチャのWANインターフェイスとの間でルーティングされている すべてのパケット のアクセス制御を行います。ルータ インターフェイスでのみ設定され、ルーティング対象パケットにのみ適用される通常のCisco IOS標準または拡張ACLと異なり、VACLはすべてのパケットに適用され、どのVLANまたはWANインターフェイスにも適用できます。VACLはハードウェアで処理されます。VACLはCisco IOS ACLを使用します。VACLは、ハードウェアでサポートされていないすべてのCisco IOS ACLフィールドを無視します。

IP、Internetwork Packet Exchange(IPX)、およびMAC(メディア アクセス制御)レイヤ トラフィックの場合は、VACLを設定できます。WANインターフェイスに適用されるVACLは、VACLキャプチャのIPトラフィックのみをサポートします。

VACLを設定してVLANに適用すると、VLANに着信するすべてのパケットが、このVACLと照合されます。VACLをVLANに適用し、ACLをVLAN内のルーティング対象インターフェイスに適用すると、VLANに着信するパケットは最初にVACLと照合されます。そこで許可されると、次に入力ACLと照合され、それからルーティング対象インターフェイスで処理されます。別のVLANにルーティングされるパケットは、最初に、ルーティング対象インターフェイスに適用される出力ACLと照合されます。そこで許可されると、宛先VLAN用に設定されたVACLが適用されます。VACLが特定のパケット タイプ用に設定されていて、VACLと該当タイプのパケットとが一致しない場合、デフォルト動作では、パケットが拒否されます。


) • TCPインターセプトおよび再帰ACLは、VACLと同じインターフェイスに設定されている場合、VACLよりも優先されます。

VACLおよびContext-Based Access Control(CBAC;コンテキスト ベースのアクセス制御)は、同じインターフェイス上に設定できません。

Internet Group Management Protocol(IGMP)パケットはVACLと照合されません。


 

ブリッジド パケット

図 29-1に、ブリッジド パケットに適用されるVACLを示します。

図 29-1 ブリッジド パケットへのVACLの適用

 

ルーティング対象パケット

図 29-2に、ルーティング対象パケットおよびレイヤ3スイッチング対象パケットにACLを適用する方法を示します。ルーティング対象パケットおよびレイヤ3スイッチング対象パケットに対して、ACLは次の順番で適用されます。

1. 入力VLAN用VACL

2. 入力Cisco IOS ACL

3. 出力Cisco IOS ACL

4. 出力VLAN用VACL

図 29-2 ルーティング対象パケットへのVACLの適用

 

マルチキャスト パケット

図 29-3に、マルチキャスト拡張が必要なパケットにACLを適用する方法を示します。マルチキャスト拡張が必要なパケットに対して、ACLは次の順番で適用されます。

1. マルチキャスト拡張が必要なパケット:

a. 入力VLAN用VACL

b. 入力Cisco IOS ACL

2. マルチキャスト拡張後のパケット:

a. 出力Cisco IOS ACL

b. 出力VLAN用VACL

3. ルータから送信されるパケット ― 出力VLAN用VACL

図 29-3 マルチキャスト パケットへのVACLの適用

 

VACLの設定

ここでは、VACLの設定手順について説明します。

「VACLの設定の概要」

「VLANアクセス マップの定義」

「VLANアクセス マップ シーケンスでのmatchコマンドの設定」

「VLANアクセス マップ シーケンスでのactionコマンドの設定」

「VLANアクセス マップの適用」

「VLANアクセス マップの設定の確認」

「VLANアクセス マップの設定および確認の例」

「キャプチャ ポートの設定」

VACLの設定の概要

VACLは標準および拡張Cisco IOS IPとIPX ACL、MACレイヤの名前付きACL( MAC ACLの設定を参照)、およびVLANアクセス マップを使用します。

VLANアクセス マップは、VLANまたはVACLキャプチャのWANインターフェイスに適用されます。WANインターフェイスに付加されたVACLは、標準または拡張Cisco IOS IP ACLのみをサポートします。

各VLANアクセス マップは、1つまたは複数のマップ シーケンスで構成できます。各シーケンスにはmatchコマンドとactionコマンドが含まれます。matchコマンドはトラフィック フィルタリング用のIP、IPX、またはMAC ACLを指定します。actionコマンドは一致した場合に実行するアクションを指定します。フローが許可(permit)ACLエントリと一致した場合、関連付けられたアクションが実行され、それ以降の残りのシーケンスに対してフローはチェックされません。フローが拒否(deny)ACLエントリと一致した場合、同じシーケンス内の次のACL、または次のシーケンスに対してフローがチェックされます。フローがどのACLエントリとも一致せず、1つまたは複数のACLがそのパケット タイプ用に設定されている場合、パケットは拒否されます。

ブリッジド トラフィックおよびルーテッド トラフィックの両方にアクセス制御を使用するには、VACLを単独で使用するか、またはVACLとACLを組み合わせて使用します。VLANインターフェイス上でACLを定義して、入力と出力のルーテッド トラフィックに対してアクセスを制御できます。VACLを定義して、ブリッジド トラフィックに対してアクセス制御を使用します。

VACLとともにACLを使用する場合は、次の点に注意してください。

発信ACLでの記録の必要があるパケットは、VACLで拒否された場合、記録されません。

VACLはNAT変換前のパケットに適用されます。アクセス制御されなかった変換フローは、VACL設定により、変換後にアクセス制御される場合があります。

VACLのactionコマンドには、転送(forward)、廃棄(drop)、キャプチャ(capture)、またはリダイレクト(redirect)を指定できます。トラフィックをログに記録することもできます。WANインターフェイスに適用されたVACLは、リダイレクトまたはログ アクションをサポートしません。


) • VACLのマップの最後には、暗黙的な拒否エントリがあります。パケットがどのACLエントリとも一致せず、1つまたは複数のACLがそのパケット タイプ用に設定されている場合、パケットは拒否されます。

空または未定義のACLがVACL内で指定されている場合、すべてのパケットはこのACLに一致し、関連付けられたアクションが実行されます。


 

VLANアクセス マップの定義

VLANアクセス マップを定義するには、次の作業を行います。

 

コマンド
説明

Router(config)# vlan access-map map_name [ 0-65535 ]

VLANアクセス マップを定義します。任意で、VLANアクセス マップのシーケンス番号を指定できます。

Router(config)# no vlan access-map map_name 0-65535

VLANアクセス マップからマップ シーケンスを削除します。

Router(config)# no vlan access-map map_name

VLANアクセス マップを削除します。

VLANアクセス マップを定義する際、次の構文情報に注意してください。

エントリを追加または変更する場合は、マップのシーケンス番号を指定します。

マップのシーケンス番号を指定しないと、番号が自動的に割り当てられます。

各マップ シーケンスには、matchコマンドおよびactionコマンドをそれぞれ1つのみ指定できます。

マップ シーケンスを削除する場合は、シーケンス番号を指定して no キーワードを使用します。

マップを削除する場合は、シーケンス番号を指定しないで、 no キーワードを使用します。

「VLANアクセス マップの設定および確認の例」を参照してください。

VLANアクセス マップ シーケンスでのmatchコマンドの設定

VLANアクセス マップ シーケンスにmatchコマンドを設定するには、次の作業を行います。

 

コマンド
説明

Router(config-access-map)# match { ip address { 1-199 | 1300-2699 | acl_name } | ipx address { 800-999 | acl_name }| mac address acl_name }

VLANアクセス マップ シーケンスにmatchコマンドを設定します。

Router(config-access-map)# no match { ip address { 1-199 | 1300-2699 | acl_name } | ipx address { 800-999 | acl_name }| mac address acl_name }

VLANアクセス マップ シーケンスからmatchコマンドを削除します。

VLANアクセス マップ シーケンスにmatchコマンドを設定する際、次の構文情報に注意してください。

1つまたは複数のACLを選択できます。

WANインターフェイスに付加されたVACLは、標準または拡張Cisco IOS IP ACLのみをサポートします。

matchコマンドを削除したり、matchコマンド内の特定のACLを削除したりする場合は、noキーワードを使用します。

名前付きMACレイヤACLについては、 「MAC ACLの設定」を参照してください。

Cisco IOS ACL設定については、次のURLにある『 Cisco IOS Security Configuration Guide 』Release 12.2の「Traffic Filtering and Firewalls」を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/ftrafwl/index.htm

「VLANアクセス マップの設定および確認の例」を参照してください。

VLANアクセス マップ シーケンスでのactionコマンドの設定

VLANアクセス マップ シーケンスにactionコマンドを設定するには、次の作業を行います。

 

コマンド
説明

Router(config-access-map)# action { drop [ log ]} | { forward [ capture ]} | { redirect {{ethernet | fastethernet | gigabitethernet | tengigabitethernet} slot/port} | {port-channel channel_id}}

VLANアクセス マップ シーケンスにactionコマンドを設定します。

Router(config-access-map)# no action { drop [ log ]} | { forward [ capture ]} | { redirect {{ethernet | fastethernet | gigabitethernet | tengigabitethernet} slot/port} | {port-channel channel_id}}

VLANアクセス マップ シーケンスからactionコマンドを削除します。

VLANアクセス マップ シーケンスにactionコマンドを設定する際、次の構文情報に注意してください。

パケットを廃棄、転送、転送してキャプチャ、またはリダイレクトするアクションを設定できます。

WANインターフェイスに適用されるVACLは、転送してキャプチャするアクションのみをサポートします。WANインターフェイスに適用されたVACLは、廃棄、転送、またはリダイレクト アクションをサポートしません。

転送されたパケットも、設定済みCisco IOSセキュリティACLによる制約を受けます。

capture アクションを指定すると、転送されたパケットのキャプチャ ビットが設定されて、キャプチャ機能がイネーブルであるポートがパケットを受信できるようになります。キャプチャできるのは、転送されたパケットのみです。 capture アクションの詳細については、「キャプチャ ポートの設定」を参照してください。

WANインターフェイスに適用されたVACLは、logアクションをサポートしません。

logアクションが指定されている場合、廃棄されたパケットがソフトウェアで記録されます。記録できるのは、廃棄されたIPパケットだけです。

redirectアクションを指定すると、物理インターフェイスまたはEtherChannelのいずれかのインターフェイスを5つまで指定できます。EtherChannelメンバーまたはVLANインターフェイスにパケットをリダイレクトするように指定することはできません。

リダイレクト インターフェイスは、VACLアクセス マップが設定されているVLAN内に存在する必要があります。

Supervisor Engine 720を使用した場合、VACLはトラフィックを出力SPAN送信元ポートにリダイレクトすると、SPANはVACLリダイレクトされたトラフィックをコピーしません。

Supervisor Engine 2を使用した場合、VACLはトラフィックを出力SPAN送信元ポートにリダイレクトすると、SPANはVACLリダイレクトされたトラフィックをコピーします。

SPANおよびRSPAN宛先ポートは、VACLリダイレクトされたトラフィックを送信します。

actionコマンドを削除するか、または指定されたリダイレクト インターフェイスを削除する場合は、noキーワードを使用します。

「VLANアクセス マップの設定および確認の例」を参照してください。

VLANアクセス マップの適用

VLANアクセス マップを適用するには、次の作業を行います。

 

コマンド
説明

Router(config)# vlan filter map_name { vlan-list vlan_list | interface type 1 number 2 }

指定したVLANまたはWANインターフェイスにVLANアクセス マップを適用します。

Router(config)# no vlan filter map_name [ vlan-list vlan_list | interface type 1 number 2]

指定したVLANまたはWANインターフェイスからVLANアクセス マップを削除します。

1.type = posatm、またはserial

2.number = slot/portまたはslot/port_adapter/port;サブインターフェイスまたはチャネル グループ ディスクリプタを含むことができます。

VLANアクセス マップを適用する際、次の構文情報に注意してください。

VLANアクセス マップは、1つまたは複数のVLANまたはWANインターフェイスに適用できます。

vlan_list パラメータには、単一のVLAN ID、カンマで区切ったVLAN IDリスト、またはVLAN ID範囲( vlan_ID - vlan_ID )を指定できます。

VACLが適用されたWANインターフェイスを削除すると、インターフェイス上のVACL設定も削除されます。

各VLANまたはWANインターフェイスには、VLANアクセス マップを1つだけ適用できます。

VLANに適用したVACLがアクティブになるのは、レイヤ3 VLANインターフェイスが設定されているVLANに対してだけです。レイヤ3 VLANインターフェイスを備えていないVLANに適用されたVACLは、非アクティブです。レイヤ3 VLANインターフェイスを持たないVLANにVLANアクセス マップを適用すると、VLANアクセス マップをサポートするために、レイヤ3 VLANインターフェイスが、管理上のダウン状態で作成されます。レイヤ3 VLANインターフェイスの作成に失敗すると、VACLは非アクティブになります。

セカンダリ プライベートVLANにVACLを適用することはできません。プライマリ プライベートVLANに適用されたVACLは、セカンダリ プライベートVLANにも適用されます。

VLANまたはWANインターフェイスからVLANアクセス マップを消去する場合は、 no キーワードを使用します。

「VLANアクセス マップの設定および確認の例」を参照してください。

VLANアクセス マップの設定の確認

VLANアクセス マップの設定を確認するには、次の作業を行います。

 

コマンド
説明

Router# show vlan access-map [ map_name ]

VLANアクセス マップの内容を表示して、VLANアクセス マップの設定を確認します。

Router# show vlan filter [ access-map map_name | vlan vlan_id | interface type 3 number 4 ]

VACLとVLAN間のマッピングの内容を表示して、VLANアクセス マップの設定を確認します。

3.type = posatm、またはserial

4.number = slot/portまたはslot/port_adapter/port;サブインターフェイスまたはチャネル グループ ディスクリプタを含むことができます。

VLANアクセス マップの設定および確認の例

net_10 および any_host という名前のIP ACLが、次のように定義されていると想定します。

Router# show ip access-lists net_10
Extended IP access list net_10
permit ip 10.0.0.0 0.255.255.255 any
 
Router# show ip access-lists any_host
Standard IP access list any_host
permit any
 

次に、IPパケットを転送するよう、VLANアクセス マップを定義および適用する例を示します。この例では、net_10に一致するIPトラフィックは転送され、それ以外のすべてのIPパケットはデフォルトの廃棄アクションによって廃棄されます。このマップはVLAN 12~16に適用されます。

Router(config)# vlan access-map thor 10
Router(config-access-map)# match ip address net_10
Router(config-access-map)# action forward
Router(config-access-map)# exit
Router(config)# vlan filter thor vlan-list 12-16

次に、IPパケットを廃棄および記録するよう、VLANアクセス マップを定義および適用する例を示します。この例では、net_10に一致するIPトラフィックは廃棄および記録され、それ以外のすべてのIPパケットは転送されます。

Router(config)# vlan access-map ganymede 10
Router(config-access-map)# match ip address net_10
Router(config-access-map)# action drop log
Router(config-access-map)# exit
Router(config)# vlan access-map ganymede 20
Router(config-access-map)# match ip address any_host
Router(config-access-map)# action forward
Router(config-access-map)# exit
Router(config)# vlan filter ganymede vlan-list 7-9
 

次に、IPパケットを転送およびキャプチャするよう、VLANアクセス マップを定義および適用する例を示します。この例では、net_10に一致するIPトラフィックは転送およびキャプチャされ、それ以外のすべてのIPパケットは廃棄されます。

Router(config)# vlan access-map mordred 10
Router(config-access-map)# match ip address net_10
Router(config-access-map)# action forward capture
Router(config-access-map)# exit
Router(config)# vlan filter mordred vlan-list 2, 4-6

キャプチャ ポートの設定

VACLフィルタリングされたトラフィックをキャプチャするよう設定されたポートを、「キャプチャ ポート」といいます。


) キャプチャされたトラフィックにIEEE 802.1QまたはISL(スイッチ間リンク)タグを適用するには、キャプチャ ポートで無条件にトランクするように設定します( ISLまたは802.1Qトランクとしてのレイヤ2スイッチング ポートの設定および DTPを使用しないようにするためのレイヤ2トランクの設定を参照)。


キャプチャ ポートを設定するには、次の作業を行います。

 

 
コマンド
説明

ステップ 1

Router(config)# interface {{ type 5 slot/port }

設定するインターフェイスを指定します。

ステップ 2

Router(config-if)# switchport capture allowed vlan { add | all | except | remove } vlan_list

(任意)宛先VLAN単位で、キャプチャされたトラフィックをフィルタリングします。デフォルトは、 all です。

Router(config-if)# no switchport capture allowed vlan

設定された宛先VLANリストを消去して、デフォルト値に戻します( all )。

ステップ 3

Router(config-if)# switchport capture

VACLフィルタリングされたトラフィックをキャプチャするよう、ポートを設定します。

Router(config-if)# no switchport capture

インターフェイス上のキャプチャ機能をディセーブルにします。

5.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

キャプチャ ポートを設定する際、次の構文情報に注意してください。

任意のポートをキャプチャ ポートとして設定できます。

キャプチャ ポートを設定する際、次の構文情報に注意してください。

vlan_list パラメータには、単一のVLAN ID、カンマで区切ったVLAN IDリスト、またはVLAN ID範囲( vlan_ID - vlan_ID )を指定できます。

キャプチャされたトラフィックをカプセル化するには、 switchport trunk encapsulation コマンドでキャプチャ ポートを設定してから( トランクとしてのレイヤ2スイッチング ポートの設定を参照)、 switchport capture コマンドを入力します。

キャプチャされたトラフィックをカプセル化しない場合は、 switchport mode access コマンドでキャプチャ ポートを設定してから( レイヤ2アクセス ポートとしてのLANインターフェイスの設定を参照)、 switchport capture コマンドを入力します。

キャプチャ ポートは、出力トラフィックのみをサポートします。トラフィックは、キャプチャ ポートからルータに入ることができません。

次に、インターフェイスFast Ethernet 5/1をキャプチャ ポートとして設定する例を示します。

Router(config)# interface gigabitEthernet 5/1
Router(config-if)# switchport capture
Router(config-if)# end
 

次に、VLANアクセス マップの情報を表示する例を示します。

Router# show vlan access-map mordred
Vlan access-map "mordred" 10
match: ip address net_10
action: forward capture
Router#
 

次に、VACLとVLAN間のマッピングを表示する例を示します。各VACLマップでは、マップが設定されているVLAN、およびマップがアクティブであるVLANについての情報があります。VLAN内にインターフェイスがない場合、VACLは、アクティブになりません。

Router# show vlan filter
VLAN Map mordred:
Configured on VLANs: 2,4-6
Active on VLANs: 2,4-6
Router#

VACLログ機能の設定

VACLログ機能が設定されているときに、次の状況でIPパケットが拒否されると、ログ メッセージが生成されます。

一致する最初のパケットを受信した場合

直前の5分間に、一致するパケットを受信した場合

5分経過する前にスレッシュホールドに達している場合

ログ メッセージはフロー単位で生成されます。フローは、同じIPアドレスおよびレイヤ4(UDPまたはTCP)ポート番号を持つパケットとして定義されます。ログ メッセージが生成されると、タイマーおよびパケット カウントがリセットされます。

VACLログ機能には、次の制限事項が適用されます。

リダイレクトされたパケットにはレート制限機能が適用されるので、VACLログ カウンタが不正確になることがあります。

拒否されたIPパケットだけが記録されます。

VACLログ機能を設定するには、VLANアクセス マップ サブモードの action drop log コマンド アクションを使用します(設定情報については、VACLの設定を参照)。この作業をグローバル コンフィギュレーション モードで実行して、グローバルVACLログ パラメータを指定します。

 

 
コマンド
説明

ステップ 1

Router(config)# vlan access-log maxflow max_number

ログ テーブルのサイズを設定します。maxflowの値を0に設定すると、ログ テーブルの内容を削除できます。デフォルトは500、有効範囲は0~2048です。ログ テーブルが満杯になると、新しいフローのパケットが記録されても、ソフトウェアによって廃棄されます。

ステップ 2

Router(config)# vlan access-log ratelimit pps

VACLログ パケットの最大リダイレクト速度を設定します。デフォルトのパケット転送速度は2000パケット/秒、有効範囲は0~5000です。制限を超えたパケットは、ハードウェアによって廃棄されます。

ステップ 3

Router(config)# vlan access-log threshold pkt_count

ログ スレッシュホールドを設定します。5分経過する前にフローのスレッシュホールドに達すると、ログ メッセージが生成されます。デフォルトでは、スレッシュホールドは設定されていません。

ステップ 4

Router(config)# exit

VLANアクセス マップ コンフィギュレーション モードを終了します。

ステップ 5

Router# show vlan access-log config

(任意)設定されたVACLログ プロパティを表示します。

ステップ 6

Router# show vlan access-log flow protocol {{ src_addr src_mask } | any | {host { hostname | host_ip }}} {{ dst_addr dst_mask } | any | {host { hostname | host_ip }}}

[vlan vlan_id ]

(任意)VACLログ テーブルの内容を表示します。

ステップ 7

Router# show vlan access-log statistics

(任意)パケット数、メッセージ数などの統計情報を表示します。

次に、グローバルVACLログ機能をハードウェア内で設定する例を示します。

Router(config)# vlan access-log maxflow 800
Router(config)# vlan access-log ratelimit 2200
Router(config)# vlan access-log threshold 4000