Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
IPv6 アクセス リストの追加
IPv6 アクセス リストの追加
発行日;2012/05/10 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

IPv6 アクセス リストの追加

IPv6 アクセス リストに関する情報

IPv6 アクセス リストのライセンス要件

IPv6 アクセス リストの追加の前提条件

ガイドラインと制限事項

デフォルト設定

IPv6 アクセス リストの設定

IPv6 アクセス リストの設定のタスク フロー

IPv6 アクセス リストの追加

アクセス リストへのコメントの追加

IPv6 アクセス リストのモニタ

IPv6 アクセス リストの設定例

関連情報

IPv6 アクセス リストの機能履歴

IPv6 アクセス リストの追加

この章では、IPv6 アクセス リストを設定して、ASA を通過するトラフィックを制御およびフィルタリングする方法について説明します。

この章は、次の項で構成されています。

「IPv6 アクセス リストに関する情報」

「IPv6 アクセス リストのライセンス要件」

「IPv6 アクセス リストの追加の前提条件」

「ガイドラインと制限事項」

「デフォルト設定」

「IPv6 アクセス リストの設定」

「IPv6 アクセス リストのモニタ」

「IPv6 アクセス リストの設定例」

「関連情報」

「IPv6 アクセス リストの機能履歴」

IPv6 アクセス リストに関する情報

IPv6 の一般的なアクセス リスト機能は、IPv4 のアクセス リストに似ています。アクセス リストは、ルータ インターフェイスでブロックするトラフィックと転送するトラフィックを決定します。アクセス リストを使用すると、特定のインターフェイスへの着信および発信を、送信元アドレスと宛先アドレスに基づいてフィルタリングできます。各アクセス リストの末尾には、暗黙的な deny 文があります。IPv6 アクセス リストを定義し、グローバル コンフィギュレーション モードで ipv6 access-list コマンドを deny キーワードおよび permit キーワードとともに使用して、アクセス リストの拒否条件と許可条件を設定します。

IPv6 アクセス リストのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

IPv6 アクセス リストの追加の前提条件

IPv6 アドレッシングと基本コンフィギュレーションについて十分に理解している必要があります。IPv6 の設定の詳細については、『 Cisco Security Appliance Command Reference 』の ipv6 コマンドを参照してください。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

IPv6 アクセス リストには、次のガイドラインと制限事項が適用されます。

ipv6 access-list コマンドでは、ポートまたはプロトコルへの IPv6 アドレスのアクセスを許可するか、拒否するかを指定できます。各コマンドは ACE と呼ばれます。同じアクセス リスト名を持つ 1 つまたは複数の ACE はアクセス リストと呼ばれます。 access-group コマンドを使用して、インターフェイスにアクセス リストを適用します。

ASAは、アクセス リストを使用して明示的にアクセスを許可しない限り、外部インターフェイスから内部インターフェイスへのパケットをすべて拒否します。内部インターフェイスから外部インターフェイスへのパケットは、明示的にアクセスを拒否しない限り、デフォルトですべて許可されます。

ipv6 access-list コマンドは、IPv6 固有である点を除いて、 access-list コマンドに似ています。アクセス リストの詳細については、 access-list extended コマンドを参照してください。

ipv6 access-list icmp コマンドは、ASAを通過する ICMPv6 メッセージをフィルタリングするために使用されます。特定のインターフェイスでの発信および終端が許可される ICMPv6 トラフィックを設定するには、 ipv6 icmp コマンドを使用します。

オブジェクト グループの設定方法の詳細については、 object-group コマンドを参照してください。

ipv6 access-list コマンドの operator オプションで使用可能なオペランドは、小なりを表す lt 、大なりを表す gt 、同値を表す eq 、非同値を表す neq 、および包括的範囲を表す range です。デフォルトですべてのポートを指定するには、演算子とポートを指定せずに ipv6 access-list コマンドを使用します。

ICMP メッセージ タイプは、アクセス ルールによってフィルタリングされます。 icmp_type 引数を省略すると、すべての ICMP タイプが指定されます。ICMP タイプを指定する場合は、有効な ICMP タイプ番号(0 ~ 255)または次のいずれかの ICMP タイプ リテラルを値として指定できます。

destination-unreachable

packet-too-big

time-exceeded

parameter-problem

echo-request

echo-reply

membership-query

membership-report

membership-reduction

router-renumbering

router-solicitation

router-advertisement

neighbor-solicitation

neighbor-advertisement

neighbor-redirect

protocol 引数を指定する場合、有効な値は、 icmp ip tcp udp 、または IP プロトコル番号を表す 1 ~ 254 の整数です。

デフォルト設定

表 19-1 に、IPv6 アクセス リスト パラメータのデフォルトの設定を示します。

 

表 19-1 IPv6 アクセス リストのデフォルト パラメータ

パラメータ
デフォルト

default

default オプションでは、ACE について syslog メッセージ 106100 を生成するように指定します。

interval secs

106100 syslog メッセージを生成する間隔を指定します。有効な値は 1 ~ 600 秒です。デフォルトの間隔は 300 秒です。この値は、非アクティブなフローを削除するためのタイムアウト値としても使用されます。

level

level オプションでは、syslog メッセージ 106100 の重大度を指定します。有効な値は 0 ~ 7 です。デフォルトのレベルは 6(情報)です。

log

log オプションでは、ACE のロギング アクションを指定します。 log キーワードを指定しなかった場合や、 log default キーワードを指定した場合は、パケットが ACE によって拒否されると、メッセージ 106023 が生成されます。 log キーワードを単独で指定した場合や、level または interval とともに指定した場合は、パケットが ACE によって拒否されると、メッセージ 106100 が生成されます。アクセス リストの末尾にある暗黙的な拒否によって拒否されたパケットは、ログに記録されません。ロギングをイネーブルにするには、ACE で暗黙的にパケットを拒否する必要があります。

IPv6 アクセス リストの設定

この項は、次の内容で構成されています。

「IPv6 アクセス リストの設定のタスク フロー」

「IPv6 アクセス リストの追加」

「アクセス リストへのコメントの追加」

IPv6 アクセス リストの設定のタスク フロー

アクセス リストを作成して実装するには、次のガイドラインを使用します。

「IPv6 アクセス リストの追加」に示すように、ACE を追加し、アクセス リスト名を適用して、アクセス リストを作成します。

アクセス リストをインターフェイスに適用します。(詳細については、「アクセス ルールの設定」を参照してください)。

IPv6 アクセス リストの追加

通常の IPv6 アクセス リストまたは TCP の IPv6 アクセス リストを追加できます。

通常の IPv6 アクセス リストを追加するには、次のコマンドを入力します。

 

コマンド
目的

ipv6 access-list id [ line line-num ] { deny | permit } { protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }] { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [{ operator port [ port ] | object-group service_obj_grp_id }] [ log [[ level ] [ interval secs ] | disable | default ]]

 

hostname(config)# ipv6 access-list acl_grp permit tcp any host 3001:1::203:A0FF:FED6:162D

IPv6 アクセス リストを設定します。

any キーワードは、任意の IPv6 アドレスを示す IPv6 プレフィックス ::/0 の省略形です。

deny キーワードは、条件が一致した場合にアクセスを拒否します。

destination-ipv6-address 引数には、トラフィックを受信するホストの IPv6 アドレスを指定します。

destination-ipv6-prefix 引数には、トラフィックの宛先の IPv6 ネットワーク アドレスを指定します。

disable オプションは、syslog メッセージをディセーブルにします。

host キーワードは、アドレスが特定のホストを参照するように指定します。

id キーワード には、アクセス リストの番号を指定します。

line line-num オプションでは、アクセス ルールをリストに挿入するための行番号を指定します。デフォルトでは、アクセス リストの末尾に ACE が追加されます。

network_obj_grp_id 引数には、既存のネットワーク オブジェクト グループの ID を指定します。

object-group オプションには、オブジェクト グループを指定します。

operator オプションでは、送信元 IP アドレスまたは宛先 IP アドレスのポートを比較します。使用可能なオペランドのリストについては、「ガイドラインと制限事項」を参照してください。

permit キーワードは、条件が一致した場合にアクセスを許可します。

port オプションでは、アクセスを許可または拒否するポートを指定します。ポートは、0 ~ 65535 の範囲の数字またはリテラル名(プロトコルが tcp または udp の場合)のいずれかで指定できます。使用可能な TCP または UDP のリテラル名のリストについては、「ガイドラインと制限事項」を参照してください。

prefix-length 引数は、アドレスの高次の連続ビットのうち、IPv6 プレフィックスを構成しているビットの数を示します。

protocol 引数には、IP プロトコルの名前または番号を指定します。

protocol_obj_grp_id には、既存のプロトコル オブジェクト グループの ID を指定します。

service_obj_grp_id オプションには、オブジェクト グループを指定します。

source-ipv6-address では、トラフィックを送信するホストのアドレスを指定します。

source-ipv6-prefix では、トラフィックの送信元の IPv6 アドレスを指定します。

ICMP の IPv6 アクセス リストを設定するには、次のコマンドを入力します。

 

コマンド
目的

ipv6 access-list id [ line line-num ] { deny | permit } icmp6 { source-ipv6-prefix / prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } { destination-ipv6-prefix / prefix-length | any | host destination-ipv6-address | object-group network_obj_grp_id } [ icmp_type | object-group icmp_type_obj_grp_id ] [ log [[ level ] [ interval secs ] | disable | default ]]

 

hostname(config)# ipv6 access list acl_grp permit tcp any host 3001:1::203:AOFF:FED6:162D

ICMP の IPv6 アクセス リストを設定します。

icmp6 キーワードは、ASAを通過する ICMPv6 トラフィックにアクセス ルールを適用するように指定します。

icmp_type 引数では、アクセス ルールによってフィルタリングされる ICMP メッセージ タイプを指定します。指定できる値は、有効な ICMP タイプ番号(0 ~ 255)です (使用可能な ICMP タイプ リテラルのリストについては、「ガイドラインと制限事項」を参照してください)。

service_obj_grp_id オプションには、オブジェクト グループの ICMP タイプ ID を指定します。

その他の ipv6 access-list コマンド パラメータの詳細については、先に説明した通常の IPv6 アクセス リストの追加の手順を参照するか、『 Cisco Security Appliance Command Reference 』の ipv6 access-list コマンドを参照してください。

アクセス リストへのコメントの追加

拡張アクセス リスト、EtherType アクセス リスト、IPv6 アクセス リスト、標準アクセス リスト、Webtype アクセス リストを含む任意のアクセス リストに、エントリについてのコメントを追加できます。コメントにより、アクセス リストが理解しやすくなります。

最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。

 

コマンド
目的
access-list access_list_name remark text
 
hostname(config)# access-list OUT remark - this is the inside admin address
 

 

最後に入力した access-list コマンドの後にコメントを追加します。

テキストは 100 文字まで指定できます。テキストの先頭にスペースを入力できます。末尾のスペースは無視されます。

いずれかの access-list コマンドの前にコメントを入力すると、コメントはアクセス リストの最初の行に表示されます。

no access-list access_list_name コマンドを使用してアクセス リストを削除すると、コメントもすべて削除されます。

各 ACE の前にコメントを追加できます。コメントはその場所でアクセス リストに表示されます。コメントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。

hostname(config)# access-list OUT remark - this is the inside admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.3 any
hostname(config)# access-list OUT remark - this is the hr admin address
hostname(config)# access-list OUT extended permit ip host 209.168.200.4 any

IPv6 アクセス リストのモニタ

IPv6 アクセス リストをモニタするには、次のいずれかのタスクを実行します。

 

コマンド
目的
show ipv6 access-list

すべての IPv6 アクセス リスト情報を表示します。

IPv6 アクセス リストの設定例

次の例は、IPv6 アクセス リストを設定する方法を示しています。

次の例では、任意のホストが TCP を使用して 3001:1::203:A0FF:FED6:162D サーバにアクセスすることを許可します。

hostname(config)# ipv6 access-list acl_grp permit tcp any host 3001:1::203:A0FF:FED6:162D
 

次の例では、eq とポートを使用して、FTP へのアクセスだけを拒否します。

hostname(config)# ipv6 access-list acl_out deny tcp any host 3001:1::203:A0FF:FED6:162D eq ftp
hostname(config)# access-group acl_out in interface inside
 

次の例では、lt を使用して、2025 より小さいすべてのポートへのアクセスを許可します。これにより、予約済みポート(1 ~ 1024)へのアクセスが許可されます。

hostname(config)# ipv6 access-list acl_dmz1 permit tcp any host 3001:1::203:A0FF:FED6:162D lt 1025
hostname(config)# access-group acl_dmz1 in interface dmz1

関連情報

アクセス リストをインターフェイスに適用します。(詳細については、「アクセス ルールの設定」を参照してください)。

IPv6 アクセス リストの機能履歴

表 19-2 に、この機能のリリース履歴の一覧を示します。

 

表 19-2 IPv6 アクセス リストの機能履歴

機能名
リリース
機能情報

IPv6 アクセス リスト

7.0(1)

ipv6 access-list コマンドが導入されました。