マニュアル 1:Cisco ASA シリーズ CLI コンフィギュレーション ガイド(一般的な操作)バージョン 9.1
EtherType アクセス コントロール リストの追加
EtherType アクセス コントロール リストの追加
発行日;2013/05/30 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

EtherType アクセス コントロール リストの追加

EtherType ACL の概要

EtherType ACL のライセンス要件

ガイドラインと制限事項

デフォルト設定

EtherType ACL の設定

EtherType ACL を設定するためのタスク フロー

EtherType ACL の追加

ACL へのコメントの追加

次の作業

EtherType ACL のモニタリング

EtherType ACL の設定例

EtherType ACL 機能の履歴

EtherType アクセス コントロール リストの追加

この章では、EtherType ACL を設定する方法について説明します。次の項目を取り上げます。

「EtherType ACL の概要」

「EtherType ACL のライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「EtherType ACL の設定」

「EtherType ACL のモニタリング」

「次の作業」

「EtherType ACL の設定例」

「EtherType ACL 機能の履歴」

EtherType ACL の概要

EtherType ACL は、EtherType を指定する 1 つまたは複数のアクセス コントロール エントリ(ACE)で構成されます。EtherType ルールは、16 ビットの 16 進数値で指定されるすべての EtherType および選択されたトラフィック タイプを制御します。詳細については、ファイアウォール コンフィギュレーション ガイドのを参照してください。

EtherType ACL を使用したアクセス ルールの作成については、ファイアウォール コンフィギュレーション ガイドのを参照してください。

EtherType ACL のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードで使用できます。

ファイアウォール モードのガイドライン

トランスペアレント ファイアウォール モードでだけサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

EtherType ACL には、次のガイドラインと制限事項が適用されます。

EtherType ACL の場合、ACL の末尾にある暗黙的な拒否は、IP トラフィックや ARP には影響しません。たとえば、EtherType 8037 を許可する場合、ACL の末尾にある暗黙的な拒否によって、拡張 ACL で以前許可(または高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイスへ暗黙的に許可)した IP トラフィックがブロックされることはありません。ただし、EtherType ACE とのすべてのトラフィックを 明示的 に拒否する場合、IP と ARP のトラフィックが拒否されます。

802.3 形式フレームでは、type フィールドではなく length フィールドが使用されるため、ACL では処理されません。

サポート対象のトラフィックの詳細については、ファイアウォール コンフィギュレーション ガイドのを参照してください。

デフォルト設定

ACL ロギングは、拒否されたパケットについてシステム ログ メッセージ 106023 を生成します。拒否されたパケットをログに記録するには、拒否パケットが存在している必要があります。

ACL にロギングを設定する場合、システム ログ メッセージ 106100 に対するデフォルトの重大度は 6(情報)です。

EtherType ACL の設定

この項は、次の内容で構成されています。

「EtherType ACL を設定するためのタスク フロー」

「EtherType ACL の追加」

「ACL へのコメントの追加」

EtherType ACL を設定するためのタスク フロー

ACL を作成して実装するには、次のガイドラインを使用します。


ステップ 1 「EtherType ACL の追加」に示すように、ACE を追加し、ACL 名を適用して、ACL を作成します。

ステップ 2 ACL をインターフェイスに適用します。(詳細については、ファイアウォール コンフィギュレーション ガイドのを参照してください)。


 

EtherType ACL の追加

EtherType に基づいてトラフィックを制御する ACL を設定するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

access-list access_list_name ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }

 
hostname(config)# hostname(config)# access-list ETHER ethertype permit ipx

 

EtherType ACE を追加します。

access_list_name 引数には、ACL の名前または番号を示します。ACL 名を指定すると、ACL の末尾に ACE が追加されます。 access_list_name は、大文字で入力します。これにより、コンフィギュレーションで名前が見つけやすくなります。ACL には、インターフェイスを表す名前(INSIDE など)や、目的を表す名前(MPLS や PIX など)を付けることができます。

permit キーワードは、条件が一致した場合にアクセスを許可します。 deny はアクセスを拒否します。

ipx キーワードは、IPX へのアクセスを指定します。

bpdu キーワードは、デフォルトで許可されているブリッジ プロトコル データ ユニットへのアクセスを指定します。

deny キーワードは、条件が一致した場合にアクセスを拒否します。EtherType ACL が deny all に設定されている場合、すべてのイーサネット フレームが廃棄されます。その場合でも、オートネゴシエーションなどの物理プロトコル トラフィックだけは許可されます。

mpls-multicast キーワードは、MPLS マルチキャストへのアクセスを指定します。

mpls-unicast キーワードは、MPLS ユニキャストへのアクセスを指定します。

any キーワードは、任意のトラフィックへのアクセスを指定します。

hex_number 引数は、0x600 以上の 16 ビット 16 進数値で指定できる任意の EtherType です (EtherType のリストについては、http://www.ietf.org/rfc/rfc1700.txt で、RFC 1700「Assigned Numbers」を参照してください)。


) EtherType ACE を削除するには、no access-list コマンドを、コンフィギュレーションに表示されるコマンド構文のすべての文字列とともに入力します。


次のサンプル ACL では、内部インターフェイスで発信される一般的なトラフィックが許可されます。

hostname(config)# access-list ETHER ethertype permit ipx
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside

ACL へのコメントの追加

拡張 ACL、EtherType ACL、IPv6 ACL、標準 ACL、および Web-type ACL を含む ACL のエントリに関するコメントを追加できます。コメントを追加すると、ACL が理解しやすくなります。

最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。

 

コマンド
目的
access-list access_list_name remark text
 
hostname(config)# access-list OUT remark - this is the inside admin address
 

 

最後に入力した access-list コマンドの後にコメントを追加します。

テキストは 100 文字まで指定できます。テキストの先頭にスペースを入力できます。末尾のスペースは無視されます。

access-list コマンドの前にコメントを入力すると、そのコメントが ACL の最初の行となります。

no access-list access_list_name コマンドを使用して ACL を削除すると、コメントもすべて削除されます。

各 ACE の前にコメントを追加できます。コメントはその場所で ACL に表示されます。コメントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。

hostname(config)# access-list OUT remark - this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark - this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

次の作業

ACL をインターフェイスに適用します。(詳細については、ファイアウォール コンフィギュレーション ガイドのを参照してください)。

EtherType ACL のモニタリング

EtherType ACL をモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的
show access-list

ACL エントリを番号で表示します。

show running-config access-list

現在実行しているアクセス リスト コンフィギュレーションを表示します。

EtherType ACL の設定例

次の例では、EtherType ACL を設定する方法を示します。

次の ACL では、一部の EtherType は ASA を通過することが許可されますが、IPX は拒否されます。

hostname(config)# access-list ETHER ethertype deny ipx
hostname(config)# access-list ETHER ethertype permit 0x1234
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次の ACL では、両方のインターフェイスで EtherType 0x1256 のトラフィックが拒否されますが、他のトラフィックはすべて許可されます。

hostname(config)# access-list nonIP ethertype deny 1256
hostname(config)# access-list nonIP ethertype permit any
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside

EtherType ACL 機能の履歴

表 20-1 に、この機能のリリース履歴を示します。

 

表 20-1 EtherType ACL 機能の履歴

機能名
リリース
機能情報

EtherType ACL

7.0(1)

EtherType ACL は、EtherType に基づいてトラフィックを制御します。

この機能および access-list ethertype コマンドが導入されました。