Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
IPv6 アクセスリストの追加
IPv6 アクセスリストの追加
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

IPv6 アクセスリストの追加

IPv6 アクセスリストに関する情報

IPv6 アクセスリストのライセンス要件

IPv6 アクセスリストの追加の前提条件

ガイドラインと制限事項

デフォルト設定

IPv6 アクセスリストの設定

IPv6 アクセスリストの設定のタスク フロー

IPv6 アクセスリストの追加

アクセスリストへのコメントの追加

IPv6 アクセスリストのモニタ

IPv6 アクセスリストの設定例

関連情報

IPv6 アクセスリストの機能履歴

IPv6 アクセスリストの追加

この章では、IPv6 アクセスリストを設定して、セキュリティ アプライアンスを通過するトラフィックを制御およびフィルタリングする方法について説明します。

この章には、次の項があります。

「IPv6 アクセスリストに関する情報」

「IPv6 アクセスリストのライセンス要件」

「IPv6 アクセスリストの追加の前提条件」

「ガイドラインと制限事項」

「デフォルト設定」

「IPv6 アクセスリストの設定」

「IPv6 アクセスリストのモニタ」

「IPv6 アクセスリストの設定例」

「関連情報」

「IPv6 アクセスリストの機能履歴」

IPv6 アクセスリストに関する情報

IPv6 の一般的なアクセスリスト機能は、IPv4 のアクセスリストに似ています。アクセスリストは、ルータ インターフェイスでブロックするトラフィックと転送するトラフィックを決定します。アクセスリストを使用すると、特定のインターフェイスへの着信および発信を、送信元アドレスと宛先アドレスに基づいてフィルタリングできます。各アクセスリストの末尾には、暗黙的な deny 文があります。IPv6 アクセスリストを定義し、グローバル コンフィギュレーション モードで ipv6 access-list コマンドを deny キーワードおよび permit キーワードとともに使用して、アクセスリストの拒否条件と許可条件を設定します。

IPv6 アクセスリストのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

IPv6 アクセスリストの追加の前提条件

IPv6 アドレッシングと基本コンフィギュレーションについて十分に理解している必要があります。IPv6 の設定の詳細については、『 Cisco Security Appliance Command Reference 』の ipv6 コマンドを参照してください。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

IPv6 アクセスリストには、次のガイドラインと制限事項が適用されます。

ipv6 access-list コマンドでは、ポートまたはプロトコルへの IPv6 アドレスのアクセスを許可するか、拒否するかを指定できます。各コマンドは ACE と呼ばれます。同じアクセスリスト名を持つ 1 つまたは複数の ACE はアクセスリストと呼ばれます。 access-group コマンドを使用して、インターフェイスにアクセスリストを適用します。

適応型セキュリティ アプライアンスは、アクセスリストを使用して明示的にアクセスを許可しない限り、外部インターフェイスから内部インターフェイスへのパケットをすべて拒否します。内部インターフェイスから外部インターフェイスへのパケットは、明示的にアクセスを拒否しない限り、デフォルトですべて許可されます。

ipv6 access-list コマンドは、IPv6 固有である点を除いて、 access-list コマンドに似ています。アクセスリストの詳細については、 access-list extended コマンドを参照してください。

ipv6 access-list icmp コマンドは、適応型セキュリティ アプライアンスを通過する ICMPv6 メッセージをフィルタリングするために使用されます。特定のインターフェイスでの発信および終端が許可される ICMPv6 トラフィックを設定するには、 ipv6 icmp コマンドを使用します。

オブジェクト グループの設定方法の詳細については、 object-group コマンドを参照してください。

ipv6 access-list コマンドの operator オプションで使用可能なオペランドは、小なりを表す lt 、大なりを表す gt 、同値を表す eq 、非同値を表す neq 、および包括的範囲を表す range です。デフォルトですべてのポートを指定するには、演算子とポートを指定せずに ipv6 access-list コマンドを使用します。

ICMP メッセージ タイプは、アクセス規則によってフィルタリングされます。 icmp_type 引数を省略すると、すべての ICMP タイプが指定されます。ICMP タイプを指定する場合は、有効な ICMP タイプ番号(0 ~ 255)または次のいずれかの ICMP タイプ リテラルを値として指定できます。

destination-unreachable

packet-too-big

time-exceeded

parameter-problem

echo-request

echo-reply

membership-query

membership-report

membership-reduction

router-renumbering

router-solicitation

router-advertisement

neighbor-solicitation

neighbor-advertisement

neighbor-redirect

protocol 引数を指定する場合、有効な値は、 icmp ip tcp udp 、または IP プロトコル番号を表す 1 ~ 254 の整数です。

デフォルト設定

表 16-1 に、IPv6 アクセスリスト パラメータのデフォルトの設定を示します。

 

表 16-1 IPv6 アクセスリストのデフォルト パラメータ

パラメータ
デフォルト

default

default オプションでは、ACE について syslog メッセージ 106100 を生成するように指定します。

interval secs

106100 syslog メッセージを生成する間隔を指定します。有効な値は 1 ~ 600 秒です。デフォルトの間隔は 300 秒です。この値は、非アクティブなフローを削除するためのタイムアウト値としても使用されます。

level

level オプションでは、syslog メッセージ 106100 の重大度を指定します。有効な値は 0 ~ 7 です。デフォルトのレベルは 6(情報)です。

log

log オプションでは、ACE のロギング アクションを指定します。 log キーワードを指定しなかった場合や、 log default キーワードを指定した場合は、パケットが ACE によって拒否されると、メッセージ 106023 が生成されます。 log キーワードを単独で指定した場合や、level または interval とともに指定した場合は、パケットが ACE によって拒否されると、メッセージ 106100 が生成されます。アクセスリストの末尾にある暗黙的な拒否によって拒否されたパケットは、ログに記録されません。ロギングをイネーブルにするには、ACE で暗黙的にパケットを拒否する必要があります。

IPv6 アクセスリストの設定

この項は、次の内容で構成されています。

「IPv6 アクセスリストの設定のタスク フロー」

「IPv6 アクセスリストの追加」

「アクセスリストへのコメントの追加」

IPv6 アクセスリストの設定のタスク フロー

アクセスリストを作成して実装するには、次のガイドラインを使用します。

「IPv6 アクセスリストの追加」に示すように、ACE を追加し、アクセスリスト名を適用して、アクセスリストを作成します。

アクセスリストをインターフェイスに適用します(詳細については、「アクセス規則の設定」を参照してください)。

IPv6 アクセスリストの追加

通常の IPv6 アクセスリストまたは TCP の IPv6 アクセスリストを追加できます。

通常の IPv6 アクセスリストを追加するには、次のコマンドを入力します。

 

コマンド
目的

ipv6 access-list id [ line line-num ] { deny | permit } { protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }] { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [{ operator port [ port ] | object-group service_obj_grp_id }] [ log [[ level ] [ interval secs ] | disable | default ]]

 

例:

hostname(config)# ipv6 access-list acl_grp permit tcp any host 3001:1::203:A0FF:FED6:162D

IPv6 アクセスリストを設定します。

any キーワードは、任意の IPv6 アドレスを示す IPv6 プレフィックス ::/0 の省略形です。

deny キーワードは、条件が一致した場合にアクセスを拒否します。

destination-ipv6-address 引数には、トラフィックを受信するホストの IPv6 アドレスを指定します。

destination-ipv6-prefix 引数には、トラフィックの宛先の IPv6 ネットワーク アドレスを指定します。

disable オプションは、syslog メッセージをディセーブルにします。

host キーワードは、アドレスが特定のホストを参照するように指定します。

id キーワード には、アクセスリストの番号を指定します。

line line-num オプションでは、アクセス規則をリストに挿入するための行番号を指定します。デフォルトでは、アクセスリストの末尾に ACE が追加されます。

network_obj_grp_id 引数には、既存のネットワーク オブジェクト グループの ID を指定します。

object-group オプションには、オブジェクト グループを指定します。

operator オプションでは、送信元 IP アドレスまたは宛先 IP アドレスのポートを比較します。使用可能なオペランドのリストについては、「ガイドラインと制限事項」を参照してください。

permit キーワードは、条件が一致した場合にアクセスを許可します。

port オプションでは、アクセスを許可または拒否するポートを指定します。ポートは、0 ~ 65535 の範囲の数字またはリテラル名(プロトコルが tcp または udp の場合)のいずれかで指定できます。使用可能な TCP または UDP のリテラル名のリストについては、「ガイドラインと制限事項」を参照してください。

prefix-length 引数は、アドレスの高次の連続ビットのうち、IPv6 プレフィックスを構成しているビットの数を示します。

protocol 引数には、IP プロトコルの名前または番号を指定します。

protocol_obj_grp_id には、既存のプロトコル オブジェクト グループの ID を指定します。

service_obj_grp_id オプションには、オブジェクト グループを指定します。

source-ipv6-address では、トラフィックを送信するホストのアドレスを指定します。

source-ipv6-prefix では、トラフィックの送信元の IPv6 アドレスを指定します。

ICMP の IPv6 アクセスリストを設定するには、次のコマンドを入力します。

 

コマンド
目的

ipv6 access-list id [ line line-num ] { deny | permit } icmp6 { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [ icmp_type | object-group icmp_type_obj_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]]

 

例:

hostname(config)# ipv6 access list acl_grp permit tcp any host 3001:1::203:AOFF:FED6:162D

ICMP の IPv6 アクセスリストを設定します。

icmp6 キーワードは、適応型セキュリティ アプライアンスを通過する ICMPv6 トラフィックにアクセス規則を適用するように指定します。

icmp_type 引数では、アクセス規則によってフィルタリングされる ICMP メッセージ タイプを指定します。指定できる値は、有効な ICMP タイプ番号(0 ~ 255)です(使用可能な ICMP タイプ リテラルのリストについては、「ガイドラインと制限事項」を参照してください)。

service_obj_grp_id オプションには、オブジェクト グループの ICMP タイプ ID を指定します。

その他の ipv6 access-list コマンド パラメータの詳細については、先に説明した通常の IPv6 アクセスリストの追加の手順を参照するか、『 Cisco Security Appliance Command Reference 』の ipv6 access-list コマンドを参照してください。

アクセスリストへのコメントの追加

拡張アクセスリスト、EtherType アクセスリスト、IPv6 アクセスリスト、標準アクセスリスト、Webtype アクセスリストを含む任意のアクセスリストに、エントリについてのコメントを追加できます。コメントにより、アクセスリストが理解しやすくなります。

最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。

 

コマンド
目的
access-list access_list_name remark text

 

例:

hostname(config)# access-list OUT remark - this is the inside admin address
 

 

最後に入力した access-list コマンドの後にコメントを追加します。

テキストは 100 文字まで指定できます。テキストの先頭にスペースを入力できます。末尾のスペースは無視されます。

いずれかの access-list コマンドの前にコメントを入力すると、コメントはアクセスリストの最初の行に表示されます。

no access-list access_list_name コマンドを使用してアクセスリストを削除すると、コメントもすべて削除されます。

各 ACE の前にコメントを追加できます。コメントはその場所でアクセスリストに表示されます。コメントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。

hostname(config)# access-list OUT remark - this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark - this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

IPv6 アクセスリストのモニタ

IPv6 アクセスリストをモニタするには、次のいずれかのタスクを実行します。

 

コマンド
目的
show ipv6 access-list

すべての IPv6 アクセスリスト情報を表示します。

IPv6 アクセスリストの設定例

次の例は、IPv6 アクセスリストを設定する方法を示しています。

次の例では、任意のホストが TCP を使用して 3001:1::203:A0FF:FED6:162D サーバにアクセスすることを許可します。

hostname(config)# ipv6 access-list acl_grp permit tcp any host 3001:1::203:A0FF:FED6:162D
 

次の例では、eq とポートを使用して、FTP へのアクセスだけを拒否します。

hostname(config)# ipv6 access-list acl_out deny tcp any host 3001:1::203:A0FF:FED6:162D eq ftp
hostname(config)# access-group acl_out in interface inside
 

次の例では、lt を使用して、2025 より小さいすべてのポートへのアクセスを許可します。これにより、予約済みポート(1 ~ 2024)へのアクセスが許可されます。

hostname(config)# ipv6 access-list acl_dmz1 permit tcp any host 3001:1::203:A0FF:FED6:162D lt 1025
hostname(config)# access-group acl_dmz1 in interface dmz1

関連情報

アクセスリストをインターフェイスに適用します(詳細については、「アクセス規則の設定」を参照してください)。

IPv6 アクセスリストの機能履歴

表 16-2 に、この機能のリリース履歴の一覧を示します。

 

表 16-2 IPv6 アクセスリストの機能履歴

機能名
リリース
機能情報

IPv6 アクセスリスト

7.0(1)

ipv6 access-list コマンドが追加されました。