Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
EtherType アクセスリストの追加
EtherType アクセスリストの追加
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

EtherType アクセスリストの追加

EtherType アクセスリストに関する情報

サポートされている EtherType

IP および ARP のみの暗黙的な許可

アクセスリストの末尾にある暗黙的および明示的拒否 ACE

MPLS の許可

EtherType アクセスリストのライセンス要件

ガイドラインと制限事項

デフォルト設定

EtherType アクセスリストの設定

EtherType アクセスリストの設定のタスク フロー

EtherType アクセスリストの追加

アクセスリストへのコメントの追加

次の作業

EtherType アクセスリストの監視

EtherType アクセスリストの設定例

EtherType アクセスリストの機能履歴

EtherType アクセスリストに関する情報

EtherType アクセスリストは、EtherType を指定する 1 つまたは複数の アクセスリスト エントリ(ACE)で構成されます。この項は、次の内容で構成されています。

「サポートされている EtherType」

「IP および ARP のみの暗黙的な許可」

「アクセスリストの末尾にある暗黙的および明示的拒否 ACE」

「MPLS の許可」

サポートされている EtherType

EtherType ACE は、16 ビットの 16 進数値で指定されるすべての EtherType を制御します。インターフェイスの各方向の各タイプ(拡張および EtherType)に適用できるアクセスリストは 1 つだけです。同一のアクセスリストを複数のインターフェイスに適用することもできます。

IP および ARP のみの暗黙的な許可

IPv4 トラフィックは、セキュリティの高いインターフェイスから低いインターフェイスに移動する場合、アクセスリストなしで自動的に透過ファイアウォールを通過できます。ARP は、アクセスリストなしで両方向に透過ファイアウォールを通過できます。ARP トラフィックは ARP 検査によって制御されます。

ただし、IPv4 と ARP 以外の EtherType のトラフィックを許可するには、高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイスへのトラフィックである場合でも EtherType アクセスリストを適用する必要があります。

EtherType はコネクションレス型であるため、トラフィックを両方向に通過させる必要がある場合は、両方のインターフェイスにアクセスリストを適用する必要があります。

アクセスリストの末尾にある暗黙的および明示的拒否 ACE

EtherType アクセスリストの場合、アクセスリストの末尾にある暗黙的な拒否は、IP トラフィックや ARP には影響しません。たとえば、EtherType 8037 を許可する場合、アクセスリストの末尾にある暗黙的な拒否によって、拡張アクセスリストで以前許可(または高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイスへ暗黙的に許可)した IP トラフィックがブロックされることはありません。ただし、EtherType ACE とのすべてのトラフィックを 明示的 に拒否する場合、IP と ARP のトラフィックが拒否されます。

MPLS の許可

MPLS を許可する場合は、Label Distribution Protocol(LDP; ラベル配布プロトコル)および Tag Distribution Protocol(TDP; タグ配布プロトコル)の TCP 接続が適応型セキュリティ アプライアンスを経由して確立されるようにしてください。これには、適応型セキュリティ アプライアンス インターフェイス上の IP アドレスを LDP セッションまたは TDP セッションの router-id として使用するように、適応型セキュリティ アプライアンスに接続されている両方の MPLS ルータを設定します (LDP および TDP を使用することにより、MPLS ルータは、転送するパケットに使用するラベル [アドレス] をネゴシエートできるようになります)。

Cisco IOS ルータで、使用プロトコル(LDP または TDP)に適したコマンドを入力します。 interface は、適応型セキュリティ アプライアンスに接続されているインターフェイスです。

hostname(config)# mpls ldp router-id interface force
 

または

hostname(config)# tag-switching tdp router-id interface force
 

EtherType アクセスリストのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

「コンテキスト モードのガイドライン」

「ファイアウォール モードのガイドライン」

「その他のガイドラインと制限事項」

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードで使用できます。

ファイアウォール モードのガイドライン

透過ファイアウォール モードでだけサポートされています。

その他のガイドラインと制限事項

EtherType アクセスリストには、次のガイドラインと制限事項が適用されます。

特定のアクセスリスト名に対して access-list コマンドを入力すると、ACE はアクセスリストの末尾に追加されます。

EtherType アクセスリストでは、Ethernet V2 フレームがサポートされています。

802.3 形式フレームでは、type フィールドではなく length フィールドが使用されるため、アクセスリストでは処理されません。ブリッジ プロトコル データ ユニットはアクセスリストで処理される唯一の例外です。BPDU は SNAP カプセル化されており、適応型セキュリティ アプライアンスは特別に BPDU を処理するように設計されています。

EtherType はコネクションレス型であるため、トラフィックを両方向に通過させる必要がある場合は、両方のインターフェイスに ACL を適用する必要があります。

MPLS を許可する場合は、LDP および TDP の TCP 接続が適応型セキュリティ アプライアンスを経由して確立されるようにしてください。これには、適応型セキュリティ アプライアンス インターフェイス上の IP アドレスを LDP セッションまたは TDP セッションの router-ID として使用するように、適応型セキュリティ アプライアンスに接続されている両方の MPLS ルータを設定します (LDP および TDP を使用することにより、MPLS ルータは、転送するパケットに使用するラベル(アドレス)をネゴシエートできるようになります)。

EtherType アクセスリストの場合、アクセスリストの末尾にある暗黙的な拒否は、IP トラフィックや ARP には影響しません。たとえば、EtherType 8037 を許可する場合、アクセスリストの末尾にある暗黙的な拒否によって、拡張アクセスリストで以前許可(または高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイスへ暗黙的に許可)した IP トラフィックがブロックされることはありません。ただし、EtherType ACE とのすべてのトラフィックを明示的に拒否する場合、IP と ARP のトラフィックが拒否されます。

インターフェイスの各方向の各タイプ(拡張および EtherType)に適用できるアクセスリストは 1 つだけです。同一のアクセスリストを複数のインターフェイスに適用することもできます。


) フェールオーバーを使用している場合は、EtherType アクセスリストで両方のインターフェイスの BPDU を許可してブリッジング ループを回避する必要があります。


デフォルト設定

表 12-1 に、EtherType アクセスリスト パラメータのデフォルトの設定を示します。

 

表 12-1 EtherType アクセスリストのデフォルトパラメータ

パラメータ
デフォルト

bpdu

デフォルトでは、BPDU は拒否されます。

deny | permit

適応型セキュリティ アプライアンスは、ユーザが特にアクセスを許可しない限り、送信元インターフェイスのパケットをすべて拒否します。

deny

アクセスリスト ロギングは、拒否されたパケットについてシステム ログ メッセージ 106023 を生成します。拒否されたパケットをログに記録するには、拒否パケットが存在している必要があります。

log

オプションの log キーワードが指定されている場合、システム ログ メッセージ 106100 のデフォルトの重大度は 6(情報)です。

EtherType アクセスリストの設定

この項は、次の内容で構成されています。

「EtherType アクセスリストの設定のタスク フロー」

「EtherType アクセスリストの追加」

「アクセスリストへのコメントの追加」

EtherType アクセスリストの設定のタスク フロー

アクセスリストを作成して実装するには、次のガイドラインを使用します。

「EtherType アクセスリストの追加」に示すように、ACE を追加し、アクセスリスト名を適用して、アクセスリストを作成します。

アクセスリストをインターフェイスに適用します (詳細については、「インターフェイスへのアクセスリストの適用」を参照してください)。

EtherType アクセスリストの追加

EtherType に基づいてトラフィックを制御するアクセスリストを設定するには、次のコマンドを入力します。

 

コマンド
目的

access-list access_list_name ethertype { deny | permit } { ipx | bpdu | mpls-unicast | mpls-multicast | any | hex_number }

 

例:

hostname(config)# hostname(config)# access-list ETHER ethertype permit ipx

 

EtherType ACE を追加します。

access_list_name 引数には、アクセスリストの名前または番号を示します。アクセスリスト名を指定すると、アクセスリストの末尾に ACE が追加されます。 access_list_name は、大文字で入力します。これにより、コンフィギュレーションで名前が見つけやすくなります。アクセスリストには、インターフェイスを表す名前(INSIDE など)や、目的を表す名前(MPLS や PIX など)を付けることができます。

any キーワードは、任意のユーザへのアクセスを指定します。

bpdu キーワードは、デフォルトで拒否されているブリッジ プロトコル データ ユニットへのアクセスを指定します。

deny キーワードは、条件が一致した場合にアクセスを拒否します。EtherType アクセスリストに deny all が設定されている場合、すべてのイーサネット フレームが廃棄されます。その場合でも、オートネゴシエーションなどの物理プロトコル トラフィックだけは許可されます。

hex_number 引数は、0x600 以上の 16 ビット 16 進数値で指定できる任意の EtherType です (EtherType のリストについては、http://www.ietf.org/rfc/rfc1700.txt で、RFC 1700「Assigned Numbers」を参照してください)。

ipx キーワードは、IPX へのアクセスを指定します。

mpls-multicast キーワードは、MPLS マルチキャストへのアクセスを指定します。

mpls-unicast キーワードは、MPLS ユニキャストへのアクセスを指定します。

permit キーワードは、条件が一致した場合にアクセスを許可します。


) EtherType ACE を削除するには、no access-list コマンドを、コンフィギュレーションに表示される完全なコマンド シンタックス文字列で入力します。


次のサンプル アクセスリストでは、内部インターフェイスで発信される一般的な EtherType が許可されます。

hostname(config)# access-list ETHER ethertype permit ipx
hostname(config)# access-list ETHER ethertype permit bpdu
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside

アクセスリストへのコメントの追加

拡張アクセスリスト、EtherType アクセスリスト、IPv6 アクセスリスト、標準アクセスリスト、Webtype アクセスリストを含む任意のアクセスリストに、エントリについてのコメントを追加できます。コメントにより、アクセスリストが理解しやすくなります。

最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。

 

コマンド
目的
access-list access_list_name remark text
 
:
hostname(config)# access-list OUT remark - this is the inside admin address
 

 

最後に入力した access-list コマンドの後にコメントを追加します。

テキストは 100 文字まで指定できます。テキストの先頭にスペースを入力できます。末尾のスペースは無視されます。

いずれかの access-list コマンドの前にコメントを入力すると、コメントはアクセスリストの最初の行に表示されます。

no access-list access_list_name コマンドを使用してアクセスリストを削除すると、コメントもすべて削除されます。

各 ACE の前にコメントを追加できます。コメントはその場所でアクセスリストに表示されます。コメントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。

hostname(config)# access-list OUT remark - this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark - this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

次の作業

アクセスリストをインターフェイスに適用します (詳細については、「インターフェイスへのアクセスリストの適用」を参照してください)。

EtherType アクセスリストの監視

EtherType アクセスリストを監視するには、次のいずれかのコマンドを入力します。

 

コマンド
目的
show access-list

アクセスリスト エントリを番号で表示します。

show running-config access-list

現在実行しているアクセスリスト コンフィギュレーションを表示します。

EtherType アクセスリストの設定例

次の例は、EtherType アクセスリストを設定する方法を示しています。

次のアクセスリストでは、一部の EtherType は適応型セキュリティ アプライアンスを通過することが許可されますが、IPX は拒否されます。

hostname(config)# access-list ETHER ethertype deny ipx
hostname(config)# access-list ETHER ethertype permit 0x1234
hostname(config)# access-list ETHER ethertype permit bpdu
hostname(config)# access-list ETHER ethertype permit mpls-unicast
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside
 

次のアクセスリストでは、両方のインターフェイスで EtherType 0x1256 のトラフィックが拒否されますが、他のトラフィックはすべて許可されます。

hostname(config)# access-list nonIP ethertype deny 1256
hostname(config)# access-list nonIP ethertype permit any
hostname(config)# access-group ETHER in interface inside
hostname(config)# access-group ETHER in interface outside

EtherType アクセスリストの機能履歴

表 12-2 に、この機能のリリース履歴の一覧を示します。

 

表 12-2 EtherType アクセスリストの機能履歴

機能名
リリース
機能情報

EtherType アクセスリスト

7.0

EtherType アクセスリストは、EtherType に基づいてトラフィックを制御します。

この機能および access-list ethertype コマンドが導入されました。