Cisco MDS 9000 ファミリー トラブルシューティング ガイド Release 3.x
IP アクセス リストのトラブルシュー ティング
IP アクセス リストのトラブルシューティング
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

IP アクセス リストのトラブルシューティング

概要

プロトコル情報

アドレス情報

ポート情報

ICMP 情報

ToS 情報

ベスト プラクティス

ライセンスの要件

トラブルシューティングの初期チェックリスト

Fabric Manager の一般的なトラブルシューティング ツール

CLI の一般的なトラブルシューティング用コマンド

IP-ACL 問題

すべてのパケットがブロックされる

Fabric Manager を使用した IP-ACL の再作成

CLI を使用した IP-ACL の再作成

パケットがブロックされない

ポートチャネルで ACL が動作しない

スイッチにリモート接続できない

IP アクセス リストのトラブルシューティング

この章では、Cisco MDS 9000 ファミリで作成し、保守する IPv4 および IPv6 アクセス リスト(IP-ACL)のトラブルシューティングを行う方法について説明します。この章で説明する内容は、次のとおりです。

「概要」

「ベスト プラクティス」

「ライセンスの要件」

「トラブルシューティングの初期チェックリスト」

「IP-ACL 問題」

概要

IP-ACL は、すべての Cisco MDS 9000 ファミリ スイッチに基本的なネットワーク セキュリティを提供します。設定された IP フィルタに基づいて、IP に関連するトラフィックを制限します。フィルタには IP パケットと照合するルールが含まれ、パケットが一致する場合は、ルールによってパケットをが許可するか、拒否するかが決定されます。

各 Cisco MDS 9000 ファミリ スイッチには最大 64 の IP-ACL を作成でき、各 IP-ACL には最大 256 個のフィルタを設定できます。

IP フィルタには、プロトコル、アドレス、およびポートに基づいて IP パケットを照合するルールが含まれます。IPv4 フィルタは、ICMP の種類および Type of Service(ToS; サービス タイプ)も照合できます。

ここで説明する内容は、次のとおりです。

「プロトコル情報」

「アドレス情報」

「ポート情報」

「ICMP 情報」

「ToS 情報」

プロトコル情報

IP プロトコルは、次の 2 つの方法のいずれかで指定できます。

0 ~ 255 の整数を指定します。この整数は IP プロトコルを示します。

プロトコルの名前を指定する。Internet Protocol(IP)、Transmission Control Protocol(TCP)、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)、および Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)に制限されます。

アドレス情報

IPv4 の場合は、次の 2 つの方法のいずれかで、送信元および送信元ワイルドカードまたは宛先および宛先ワイルドカードを指定します。

32 ビットを使用して 4 つの 10 進数をドットで区切る(10.1.1.2 0.0.0.0 はホスト 10.1.1.2 と同じ)。

ワイルドカード内のビットを 0 に設定すると、パケットの IPv4 アドレスの対応するビット位置が送信元の対応するビット位置の値と正確に一致する必要があることを示します。

ワイルドカード内のビットを 1 に設定すると、パケットの IPv4 アドレスの対応するビット位置の値が 0 であっても 1 であっても、このアクセス リスト エントリと一致するとみなされます。無視したいビット位置の値を 1 に設定し、全体を 10 進数に変換します。たとえば、0.0.255.255 を使用すると、送信元の最初の 16 ビットだけが正確に一致することが必要です。ワイルドカードで 1 に設定するビットは、プレフィクスの最後で連続している必要があります。たとえば、0.255.0.64 というワイルドカードは無効です。

送信元および送信元ワイルドカードまたは宛先および宛先ワイルドカード(0.0.0.0 255.255.255.255)の省略形として、 any オプションを使用する。

IPv6 の場合は、次の 2 つの方法のいずれかで送信元または宛先 IPv6 アドレスを指定します。

16 進数の < プレフィクス >/< 長さ > の形式をコロンで区切った 128 ビットを使用する。たとえば、22001:0DB8:800:200C::/64 を使用すると、送信元の最初の 64 ビットが正確に一致する必要があります。

送信元または宛先の省略形として any オプションを使用する。

ポート情報

送信元ポートと宛先ポートを比較するには、 eq (等しい)オプション、 gt (より大きい)オプション、 lt (より小さい)オプション、または range (ポートの範囲)オプションを使用します。 表21-1 に、関連付けられた IPv4 の TCP ポートおよび UDP ポートについて Cisco SAN-OS ソフトウェアが認識するポート番号を示します。


) IPv6-ACL CLI コマンドは、TCP または UDP ポート名をサポートしていません。


 

表21-1 IPv4 の TCP および UDP ポート番号

プロトコル
ポート
番号

UDP

dns

53

tftp

69

ntp

123

radius accounting

1646 または 1813

radius authentication

1645 または 1812

snmp

161

snmp-trap

162

Syslog

514

TCP 1

ftp

20

ftp-data

21

ssh

22

telnet

23

smtp

25

tasacs-ds

65

www

80

sftp

115

http

143

wbem-http

5988

wbem-https

5989

1.TCP 接続がすでに確立している場合は、established オプションを使用して一致を検索します。TCP データグラムに SYN フラグが設定されていない場合、一致が発生します。

ICMP 情報

次の ICMP 条件(オプション)に基づいて、IP パケットをフィルタリングできます。

icmp-type:ICMP メッセージ タイプは、0 ~ 255 の数値です。

icmp-code:ICMP メッセージ コード は、0 ~ 255 の数値です。

表21-2 に、各 ICMP タイプの値を示します。

 

表21-2 ICMP タイプの値

ICMP タイプ
コード

echo

8

echo-reply

0

unreachable

3

redirect

5

time exceeded

11

traceroute

30

ToS 情報

IPv4 パケットは、ToS 条件(delay、monetary-cost、normal-service、reliability、および throughput)に基づいてフィルタリングできます。

ベスト プラクティス

ここでは、IP-ACL を実装するベスト プラクティスを示します。

IPS モジュールおよび MPS-14/2 モジュールの VSAN インターフェイス、管理インターフェイス、ギガビット イーサネット インターフェイス 、およびイーサネット ポートチャネル インターフェイスに IP-ACL を適用します。

最も重要な条件から最初に設定します。IP-ACL フィルタは順番に IP フローに適用され、最初の一致が実行する処理を決定します。以後の一致は考慮されません。一致する条件がない場合、パケットは削除されます。

ギガビット イーサネット インターフェイスで IP-ACL を設定するときは、TCP または ICMP オプションのみを使用します。

インターフェイスに適用する前に、IP-ACL にすべてのフィルタを作成します。

ライセンスの要件

IP-ACL 機能は、Cisco MDS 9000 スイッチにバンドルされています。

トラブルシューティングの初期チェックリスト

IP-ACL のトラブルシューティングでは、まず次の問題をチェックします。

 

チェックリスト
確認済み

アクセス リストがインターフェイスに適用されていることを確認します。

 

アクセス リストが空でないことを確認します。

 

アクセス リストでのルールの順序を確認します。

 

Fabric Manager の一般的なトラブルシューティング ツール

Switches > Security > IP ACL を選択して、IP-ACL 設定にアクセスします。

CLI の一般的なトラブルシューティング用コマンド

IP-ACL の問題のトラブルシューティングでは、次のコマンドが役に立ちます。

show ip access-list

show ipv6 access-list

show interface

ドロップされたエントリと一致するパケットに関する情報をログに記録するには、フィルタ条件の最後に log-deny オプションを使用します。ログ出力は、ACL 番号、許可または拒否ステータス、およびポート情報を表示します。カーネルおよび ipacl ファシリティ用のログファイルにデバッグ メッセージが記録されることを保証するには、次の CLI コマンドを使用します。

logging logfile SyslogFile 7

logging level kernel 7

logging level ipacl 7

IP-ACL 問題

ここでは、ACL のトラブルシューティングについて説明します。具体的な内容は、次のとおりです。

「すべてのパケットがブロックされる」

「パケットがブロックされない」

「ポートチャネルで ACL が動作しない」

「スイッチにリモート接続できない」

すべてのパケットがブロックされる

現象 すべてのパケットがブロックされる。

 

表21-3 すべてのパケットがブロックされる

現象
考えられる原因
解決方法

すべてのパケットがブロックされる。

アクセス リストが空である。

インターフェイスからアクセス リストを削除します。Fabric Manager で Switches > Security > IP ACL を選択し、Interfaces タブを選択し、ProfileName フィールドから ACL 名を削除します。Apply Changes をクリックします。

または、インターフェイス モードで no ip access-group または no ipv6 traffic-filter CLI コマンドを使用します。

拒否フィルタの範囲が広すぎる。

拒否フィルタを削除します。Device Manager で Security > IP ACL を選択し、アクセス リストを右クリックし、Rules をクリックします。削除したいフィルタを右クリックし、Delete をクリックします。

または、IPv4-ACL では no ip access-list、IPv6 では no ipv6 access-list を使用し、IP-ACL コンフィギュレーション サブモードで no deny CLI コマンドを使用します。

拒否フィルタの順位がアクセス リストで上位すぎる。

アクセス リストを削除して再作成します。詳細については、「Fabric Manager を使用した IP-ACL の再作成」および「CLI を使用した IP-ACL の再作成」を参照してください。

既存の許可フィルタがパケットと一致しない。

適切な許可フィルタを追加します。Device Manager で Security > IP ACL を選択し、アクセス リストを右クリックし、Rules をクリックします。Createをクリックします。

または、IPv4-ACL では ip access-list、IPv6 では ipv6 access-list を使用し、IP-ACL コンフィギュレーション サブモードで permit CLI コマンドを使用します。

Fabric Manager を使用した IP-ACL の再作成

Fabric Manager を使用して IP-ACL を再作成する手順は、次のとおりです。


ステップ 1 Switches > Security > IP ACL を選択し、Interfaces タブを選択します。

ステップ 2 変更する必要がある IP-ACL を持つすべてのインターフェイスを右クリックし、ProfileName フィールドから IP-ACL 名を削除します。

ステップ 3 Apply Changes をクリックし、これらの変更を保存します。

ステップ 4 IP ACL wizard アイコンをクリックします。IP-ACL wizard ダイアログボックスが表示されます。

ステップ 5 Name フィールドに IP-ACL 名を追加し、Add をクリックします。

ステップ 6 IP アドレス、サブネット マスク、およびプロトコルを設定します。

ステップ 7 Action ドロップダウン メニューから permit または deny を選択し、Next をクリックします。

ステップ 8 この ACL を適用したいスイッチを選択し、Finish をクリックします。


 

CLI を使用した IP-ACL の再作成

CLI を使用して IP-ACL を再作成する手順は、次のとおりです。


ステップ 1 show interface コマンドを使用して、どのインターフェイスが ACL を使用するかを指定します。

switch# show interface gigabitethernet 2/1
GigabitEthernet2/1 is up
Hardware is GigabitEthernet, address is 0005.3001.a706
Internet address(es):
4000::1/64
fe80::205:30ff:fe01:a706/64
MTU 2300 bytes
Port mode is IPS
Speed is 1 Gbps
Beacon is turned off
Auto-Negotiation is turned on
ip access-group TCPAlow in
5 minutes input rate 0 bits/sec, 0 bytes/sec, 0 frames/sec
5 minutes output rate 0 bits/sec, 0 bytes/sec, 0 frames/sec
1916 packets input, 114960 bytes
0 multicast frames, 0 compressed
0 input errors, 0 frame, 0 overrun 0 fifo
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 fifo
0 carrier errors
 

ステップ 2 または、インターフェイス モードで no ip access-group または no ipv6 traffic-filter コマンドを使用し、インターフェイスから ACL を削除します。show interface コマンドを使用して、どのインターフェイスが ACL を使用するかを指定します。 で見つかったすべてのインターフェイスについて、この手順を繰り返します。

switch(config)# interface gigabitethernet 2/1

switch(config-if)# no ip access-group TCPAlow

 

ステップ 3 no ip access-list または no ipv6 access-list コマンドを使用して、アクセス リストおよびそれに関連付けられたすべてのフィルタを削除します。

switch(config)# no ip access-list TCPAlow

 


) ACL 内のフィルタの順序は変更できないため、ACL を削除してから再作成することを推奨します。


ステップ 4 ip access-list または ipv6 access-list コマンドを使用して、アクセス リストを作成します。

switch(config)# ip access-list List1 permit ip any any

 


ヒント 優先順位の上位にフィルタを追加します。フィルタが着信パケットと一致しない場合は、フォールスルー フィルタを追加します。


ステップ 5 インターフェイス モードで ip access-group または ipv6 traffic-filter コマンドを使用し、インターフェイスに ACL を追加します。show interface コマンドを使用して、どのインターフェイスが ACL を使用するかを指定します。 で見つかったすべてのインターフェイスについて、この手順を繰り返します。

switch(config)# interface gigabitethernet 2/1

switch(config-if)# ip access-group List1

 

switch(config)# interface gigabitethernet 2/2

switch(config-if)# ipv6 traffic-filter IPAlow

 


 

パケットがブロックされない

現象 パケットがブロックされない。

 

表21-4 パケットがブロックされない

現象
考えられる原因
解決方法

パケットがブロックされない。

許可フィルタの範囲が広すぎる。

許可フィルタを削除します。適切な許可フィルタを追加します。Device Manager で Security > IP ACL を選択し、アクセス リストを右クリックし、Rules をクリックします。ルールを右クリックし、Delete をクリックします。

または、IPv4-ACL では no ip access-list、IPv6 では no ipv6 access-list を使用し、IP-ACL コンフィギュレーション サブモードで no permit CLI コマンドを使用します。

許可フィルタの順位がアクセス リストで上位すぎる。

アクセス リストを削除して再作成します。詳細については、「Fabric Manager を使用した IP-ACL の再作成」および「CLI を使用した IP-ACL の再作成」を参照してください。

ポートチャネルで ACL が動作しない

現象 ポートチャネルで ACL が動作しない。

 

表21-5 ポートチャネルで ACL が動作しない

現象
考えられる原因
解決方法

ポートチャネルで ACL が動作しない

ACL がポートチャネルのすべてのインターフェイスに適用されていない。

ポートチャネルのすべてのインターフェイスに ACL を追加します。Switches > ISLs > Port Channels を選択し、Members Admin フィールドでどのインターフェイスがポートチャネルに属しているかを確認します。Fabric Manager で Switches > Security > IP ACL を選択し、Interfaces タブを選択し、ProfileName フィールドに ACL 名を追加します。Apply Changes をクリックします。

show port-channel database CLI コマンドを使用してどのインターフェイスがポートチャネルに属しているかを確認し、インターフェイス モードで ip access-group または ipv6 traffic-filter CLI コマンドを使用してポートチャネルのすべてのインターフェイスに ACL を追加します。

スイッチにリモート接続できない

現象 スイッチにリモート接続できない。

 

表21-6 スイッチにリモート接続できない

現象
考えられる原因
解決方法

スイッチにリモート接続できない。

mgmt0 インターフェイスの ACL が間違っている。

コンソール ポートにローカル接続し、ACL を削除します。インターフェイス モードで no ip access-group または no ipv6 traffic-filter CLI コマンドを使用します。