Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 6.x
VLAN ACL の設定
VLAN ACL の設定

VLAN ACL の設定

この章では、Cisco NX-OS デバイスの VLAN ACL(アクセス リスト)の設定方法を説明します。

この章は、次の内容で構成されています。

VLAN ACL の概要

VLAN ACL(VACL)は、IP ACL または MAC ACL の適用例の 1 つです。 VACL を設定し、VLAN との間でルーティングされるかまたは VLAN 内でブリッジングされるすべてのパケットに適用できます。 VACL は、セキュリティ パケット フィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトだけを目的としたものです。 VACL は方向(入力または出力)で定義されることはありません。

関連コンセプト

VLAN アクセス マップとエントリ

VACL は、アクセス マップを使用して、1 つまたは複数のマップ エントリを順序化したリストを収容します。 各マップ エントリは、IP ACL または MAC ACL を処理に関連付けます。 各エントリにはシーケンス番号が付き、これに基づいてエントリの優先度を管理できます。

デバイスがパケットに VACL を適用する際、パケットを許可する ACL を含む最初のアクセス マップ エントリで設定されている処理を適用します。

VACL とアクション

アクセス マップ コンフィギュレーション モードでは、action コマンドを使用して、次のいずれかのアクションを指定します。

Forward

スイッチの通常の動作によって決定された宛先にトラフィックを送信します。

リダイレクト

1 つまたは複数の指定インターフェイスにトラフィックをリダイレクトします。

ドロップ

トラフィックをドロップします。 ドロップを処理として指定する場合、ドロップされたパケットのログをデバイスが記録するよう指定することもできます。

VACL の統計情報

VACL の各ルールのグローバル統計が維持されます。 VACL を複数の VLAN に適用した場合、保持されるルール統計情報は、その VACL が適用されている各インターフェイス上で一致(ヒット)したパケットの総数になります。


(注)  


インターフェイスレベルの VACL 統計はサポートされていません。


設定する VLAN アクセス マップごとに、その VACL の統計情報を維持するかどうかを指定できます。 この機能を使用すると、VACL によってフィルタリングされたトラフィックのモニタが必要かどうかに応じて、あるいは VLAN アクセスマップの設定のトラブルシューティングが必要かどうかに応じて、VACL 統計をオンまたはオフにできます。

VACL に対する Session Manager のサポート

Session Manager は VACL の設定をサポートしています。 この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。 Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

VACL のバーチャライゼーション サポート

仮想デバイス コンテキスト(VDC)で使用される VACL には、次の事項が適用されます。

  • ACL は各 VDC に固有です。 ある VDC に作成した ACL は別の VDC に使用できません。

  • ACL が複数の VDC に共有されることはないので、ACL 名は他の VDC に再利用できます。

  • デバイスは、ACL やルールを VDC 単位では制限しません。

VACL のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

VACL にはライセンスは必要ありません。 ただし、XL ラインカードを使用して最大 128,000 の ACL エントリをサポートするには、スケーラブルなサービス ライセンスをインストールする必要があります。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

VACL の前提条件

VACL の前提条件は次のとおりです。

  • VACL に使用する IP ACL または MAC ACL が存在し、必要な方法でトラフィックをフィルタリングするように設定されていることを確認します。

VACL の注意事項と制約事項

VACL の設定に関する注意事項は次のとおりです。

  • ACL の設定には Session Manager を使用することを推奨します。 この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。 Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

  • DHCP スヌーピング機能がイネーブルのときには、ACL の統計情報はサポートされません。

  • サポートされる VACL エントリの最大数は、XL ラインカードを使用しないデバイスで 64,000、XL ラインカードを使用するデバイスで 128,000 です。

  • XL 以外のラインカードに適用する ACL エントリが多すぎると、設定が拒否されます。

  • F1 シリーズ モジュールの各転送エンジンは 1000 の入力 ACL エントリをサポートします。また、984 のエントリがユーザ設定に使用できます。 F1 シリーズ モジュール用の VACL エントリの総数は 1000 ~ 16,000 です。転送エンジンに応じてポリシーが適用されます。

  • F1 シリーズ モジュール内の 16 の各転送エンジンは、複数の ACL にわたる最大 250 の IPv6 アドレスをサポートしています。

  • F1 シリーズ モジュールには、ACL ロギングをサポートしていません。

  • F1 シリーズ モジュールはバンク チェーニングをサポートしていません。

  • 各 VACL は、F1 シリーズ モジュールでの最大 6 つの異なるレイヤ 4 動作をサポートできます。

  • F1 シリーズ モジュールの同じポートの複数の VLAN(たとえば、VLAN 10、20)上で同じ ACL が適用される場合は、複数回(この場合は、VLAN 10 上と VLAN 20 上で)プログラミングされます。

  • F2 シリーズ モジュールの 12 の転送エンジンごとに、総数 16,000 の TCAM エントリが 2 つのバンクに対して均等に分割されます。 デフォルトの 168 エントリが予約されます。 各転送エンジンは、512 の IPv6 圧縮 TCAM エントリを持ちます。

  • SPAN 宛先ポートへの VACL リダイレクトはサポートされません。

  • F2 シリーズ、M1 シリーズ、および M2 シリーズ モジュールのみがシーケンス中の拒否 ACE をサポートします。

  • 拒否 ACE サポートの統計は、次のシーケンス ベース機能の終了シーケンスでのみサポートされます: VACL、ポリシーベース ルーティング(PBR)、および Quality Of Service(QoS)。

VACL のデフォルト設定

次の表に、VACL パラメータのデフォルト設定値を示します。



表 1 デフォルトの VACL パラメータ

パラメータ

デフォルト

VACL

デフォルトでは IP ACL は存在しません。

ACL ルール

すべての ACL に暗黙のルールが適用されます。

拒否 ACE サポート

ディセーブル

VACL の設定

VACL の作成または VACL エントリの追加

VACL エントリを新規作成したり、既存の VACL にエントリを追加できます。 どちらの場合も、作成した VACL エントリが、1 つまたは複数の ACL を一致トラフィックに適用される処理と関連付ける VLAN アクセス マップ エントリとなります。

はじめる前に

VACL に使用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。

手順の概要

    1.    configure terminal

    2.    vlan access-map map-name [sequence-number]

    3.    次のいずれかのコマンドを入力します。

    • match {ip | ipv6} address ip-access-list
    • match mac address mac-access-list

    4.    action {drop | forward | redirect}

    5.    (任意) [no] statistics per-entry

    6.    (任意) show running-config aclmgr

    7.    (任意) copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 vlan access-map map-name [sequence-number]


    例:
    switch(config)# vlan access-map acl-mac-map
    switch(config-access-map)#
     

    指定した VLAN アクセス マップの VLAN アクセス マップ コンフィギュレーション モードを開始します。 VLAN アクセス マップが存在しない場合は、デバイスによって作成されます。

    シーケンス番号を指定しなかった場合、デバイスによって新しいエントリが作成され、このシーケンス番号はアクセス マップの最後のシーケンス番号よりも 10 大きい番号となります。

     
    ステップ 3 次のいずれかのコマンドを入力します。
    • match {ip | ipv6} address ip-access-list
    • match mac address mac-access-list


    例:
    switch(config-access-map)# match mac address acl-ip-lab


    例:
    switch(config-access-map)# match mac address acl-mac-01
     

    アクセス マップ エントリに ACL を指定します。

     
    ステップ 4 action {drop | forward | redirect}


    例:
    switch(config-access-map)# action forward
     

    ACL に一致したトラフィックにデバイスが適用する処理を指定します。

    action コマンドはさまざまなオプションをサポートしています。 詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

     
    ステップ 5 [no] statistics per-entry


    例:
    switch(config-access-map)# statistics per-entry
     
    (任意)

    その VACL のルールと一致するパケットのグローバル統計をデバイスが維持するように設定します。

    no オプションを使用すると、デバイスはその VACL のグローバル統計の維持を停止します。

     
    ステップ 6 show running-config aclmgr


    例:
    switch(config-access-map)# show running-config aclmgr
     
    (任意)

    ACL の設定を表示します。

     
    ステップ 7 copy running-config startup-config


    例:
    switch(config-access-map)# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    VACL または VACL エントリの削除

    VACL を削除できます。これにより、VLAN アクセス マップも削除されます。

    また、VACL から単一の VLAN アクセス マップ エントリを削除することもできます。

    はじめる前に

    その VACL が VLAN に適用されているかどうかを確認します。 削除できるのは、現在適用されている VACL です。 VACL を削除しても、その VACL が適用されていた VLAN の設定は影響を受けません。 デバイスは削除された VACL を空であると見なします。

    手順の概要

      1.    configure terminal

      2.    no vlan access-map map-name [sequence-number]

      3.    (任意) show running-config aclmgr

      4.    (任意) copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      switch# configure terminal
      switch(config)#
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 no vlan access-map map-name [sequence-number]


      例:
      switch(config)# no vlan access-map acl-mac-map 10
       

      指定したアクセス マップの VLAN アクセス マップの設定を削除します。 sequence-number 引数を指定して、VACL に複数のエントリが含まれる場合、このコマンドにより指定したエントリだけが削除されます。

       
      ステップ 3 show running-config aclmgr


      例:
      switch(config)# show running-config aclmgr
       
      (任意)

      ACL の設定を表示します。

       
      ステップ 4 copy running-config startup-config


      例:
      switch(config)# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      VACL の VLAN への適用

      VACL を VLAN に適用できます。

      はじめる前に

      VACL を適用する際には、その VACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。

      手順の概要

        1.    configure terminal

        2.    [no] vlan filter map-name vlan-list list

        3.    (任意) show running-config aclmgr

        4.    (任意) copy running-config startup-config


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        switch# configure terminal
        switch(config)#
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 [no] vlan filter map-name vlan-list list


        例:
        switch(config)# vlan filter acl-mac-map vlan-list 1-20,26-30
        switch(config)#
         

        指定したリストによって、VACL を VLAN に適用します。 no を使用すると、VACL の適用が解除されます。

         
        ステップ 3 show running-config aclmgr


        例:
        switch(config)# show running-config aclmgr
         
        (任意)

        ACL の設定を表示します。

         
        ステップ 4 copy running-config startup-config


        例:
        switch(config)# copy running-config startup-config
         
        (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        拒否 ACE サポートの設定

        シーケンス ベースの機能である VACL、ポリシー ベース ルーティング (PBR)、および QoS について、シーケンス内の拒否アクセス コントロール エントリ(ACE)をサポートするようにデバイスを設定できます。 拒否 ACE がイネーブルの場合、class-map-acl 内の拒否 ACE(deny キーワードをともなった ACL ルール)に一致するトラフィックは、許可 ACE にヒットするまで、続く class-map-acl に対して再帰的に照合されます。
        はじめる前に

        デフォルトまたは管理者 VDC にいることを確認します。

        手順の概要

          1.    configure terminal

          2.    [no] hardware access-list allow deny ace

          3.    (任意) show running-config aclmgr

          4.    (任意) copy running-config startup-config


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          switch# configure terminal
          switch(config)#
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 [no] hardware access-list allow deny ace


          例:
          switch(config)# hardware access-list allow deny ace
           

          シーケンス中の拒否 ACE サポートをイネーブルにします。

           
          ステップ 3 show running-config aclmgr


          例:
          switch(config)# show running-config aclmgr
           
          (任意)

          ACL の設定を表示します。

           
          ステップ 4 copy running-config startup-config


          例:
          switch(config)# copy running-config startup-config
           
          (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           

          VACL 設定の確認

          VACL 設定情報を表示するには、次の作業のいずれかを行います。 これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

          コマンド

          目的

          show running-config aclmgr [all]

          VACL-related の設定も含めて、ACL の設定を表示します。

          (注)     

          Cisco NX-OS Release 5.2 以降では、このコマンドは、実行コンフィギュレーションのユーザ定義 ACL を表示します。 all オプションを使用すると、実行コンフィギュレーションのデフォルト(CoPP 設定)とユーザ定義による ACL の両方が表示されます。

          show startup-config aclmgr [all]

          ACL のスタートアップ コンフィギュレーションを表示します。

          (注)     

          Cisco NX-OS Release 5.2 以降では、このコマンドは、スタートアップ コンフィギュレーションのユーザ定義 ACL を表示します。 all オプションを使用すると、スタートアップ コンフィギュレーションのデフォルト(CoPP 設定)とユーザ定義による ACL の両方が表示されます。

          show vlan filter

          VLAN に適用されている VACL の情報を表示します。

          show vlan access-map

          VLAN アクセス マップに関する情報を表示します。

          VACL 統計情報のモニタリングとクリア

          VACL の統計情報をモニタまたはクリアを行うには、次の表に示すコマンドのいずれかを使用します。 これらのコマンドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

          コマンド

          目的

          show vlan access-list

          VACL の設定を表示します。 VLAN アクセス マップに statistics per-entry コマンドが含まれている場合は、show vlan access-list コマンドの出力に、各ルールと一致したパケットの数が含まれます。

          clear vlan access-list counters

          すべての VACL、または特定の VACL の統計情報を消去します。

          VACL の設定例

          次の例では、acl-mac-01 という名前の MAC ACL で許可されたトラフィックを転送する VACL を設定し、その VACL を VLAN 50 ~ 82 に適用します。

          conf t 
          vlan access-map acl-mac-map
            match mac address acl-mac-01
            action forward 
          vlan filter acl-mac-map vlan-list 50-82
          

          VACL に関する追加情報

          関連資料

          関連項目

          参照先

          VACL のコマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例

          『Cisco Nexus 7000 Series NX-OS Security Command Reference』

          ポリシー ベース ルーティング (PBR) 設定

          『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』

          QoS の設定

          『Cisco Nexus 7000 Series NX-OS Quality of Service Configuration Guide』

          標準

          標準

          タイトル

          この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

          VLAN ACL の機能の履歴

          次の表に、この機能のリリースの履歴を示します。

          表 2 VLAN ACL の機能の履歴

          機能名

          リリース

          機能情報

          VLAN ACL

          6.1(3)

          シーケンス中の拒否 ACE に対するサポートが追加されました。

          VLAN ACL

          6.0(1)

          F2 シリーズ モジュールが更新されました。

          VLAN ACL

          5.2(1)

          実行コンフィギュレーションとスタートアップ コンフィギュレーションでユーザ設定 ACL だけを表示する(およびデフォルトの CoPP 設定 ACL を表示しない)ように、show running-config aclmgr コマンドと show startup-config aclmgr コマンドが変更されました。

          VLAN ACL

          5.1(1)

          Release 5.0 以降、変更はありません。

          VLAN ACL

          5.0(2)

          スケーラブルなサービス ライセンスがインストールされており、XL ラインカードを使用している場合、最大 128,000 の ACL エントリがサポートされるようになりました。

          VLAN アクセス マップ

          4.2(1)

          リリース 4.1 からの変更はありません。