IP ACL の設定
IP ACL の設定

目次

IP ACL の設定

この章では、Cisco NX-OS デバイスの IP アクセス コントロール リスト(ACL)を設定する方法について説明します。

特に指定がなければ、IP ACL は IPv4 および IPv6 の ACL を意味します。


(注)  


管理対象デバイス上で実行されている Cisco NX-OS リリースでは、説明するすべての機能または設定がサポートされない場合があります。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースのマニュアルとリリース ノートを参照してください。


この章は、次の項で構成されています。

ACL について

ACL とは、トラフィックのフィルタリングに使用する順序付きのルール セットのことです。 各ルールには、パケットがルールに一致するために満たさなければならない条件のセットが規定されています。 デバイスは、ある ACL がパケットに適用されると判断すると、そのすべてのルールの条件にパケットを照合し、テストします。 最初に一致したルールで、そのパケットが許可されるか拒否されるかが決定されます。 一致するものがなければ、デバイスは適用可能な暗黙のルールを適用します。 デバイスは、許可されたパケットの処理を続行し、拒否されたパケットはドロップします。

ACL を使用すると、ネットワークおよび特定のホストを、不要なトラフィックや望ましくないトラフィックから保護できます。 たとえば、ACL を使用して、厳重にセキュリティ保護されたネットワークからインターネットに HyperText Transfer Protocol(HTTP; ハイパー テキスト トランスファ プロトコル)トラフィックが流入するのを禁止できます。 また、特定のサイトへの HTTP トラフィックだけを許可することもできます。その場合は、サイトの IP アドレスが、IP ACL に指定されているかどうかによって判定します。

ACL のタイプと適用

セキュリティ トラフィック フィルタリングには次のタイプの ACL を使用できます。

FCoE ACL
Fibre Channel over Ethernet(FCoE)ACL は、ファイバ チャネル トラフィックだけに適用されます。 FCoE の詳細については、『Cisco NX-OS FCoE Configuration Guide for Cisco Nexus 7000 and Cisco MDS 9500』を参照してください。
IPv4 ACL
IPv4 トラフィックだけに適用されます。
IPv6 ACL
IPv6 トラフィックだけに適用されます。
MAC ACL
デフォルトでは、IP 以外のトラフィックだけに適用されます。ただし、すべてのトラフィックに MAC ACL を提供するようにレイヤ 2 インターフェイスを設定できます。
セキュリティ グループ ACL(SGACL)
Cisco TrustSec によってタグ付けされたトラフィックに適用されます。

IP ACL および MAC ACL には次のタイプの適用例があります。

ポート ACL
レイヤ 2 トラフィックのフィルタリング
ルータ ACL
レイヤ 3 トラフィックのフィルタリング
VLAN ACL
VLAN トラフィックのフィルタリング
VTY ACL
仮想テレタイプ(VTY)トラフィックのフィルタリング

次の表に、セキュリティ ACL の適用例の概要を示します。



表 1 セキュリティ ACL の適用

アプリケーション

サポートされるインターフェイス

サポートする ACL のタイプ

ポート ACL

  • レイヤ 2 インターフェイス

  • レイヤ 2 イーサネット ポート チャネル インターフェイス

ポート ACL をトランク ポートに適用すると、その ACL は、当該トランク ポート上のすべての VLAN 上のトラフィックをフィルタリングします。

  • IPv4 ACL

  • IPv6 ACL

  • MAC ACL

ルータ ACL

  • VLAN インターフェイス

  • 物理層 3 インターフェイス

  • レイヤ 3 イーサネット サブインターフェイス

  • レイヤ 3 イーサネット ポート チャネル インターフェイス

  • レイヤ 3 イーサネット ポート チャネル サブインターフェイス

  • トンネル

  • 管理インターフェイス

(注)     

VLAN インターフェイスを設定するには、先に VLAN インターフェイスをグローバルにイネーブルにする必要があります。 詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide』を参照してください。

  • IPv4 ACL

  • IPv6 ACL

(注)     

MAC ACL は、MAC パケット分類をイネーブルにする場合だけ、レイヤ 3 インターフェイスでサポートされます。

VLAN ACL

  • VLAN

  • IPv4 ACL

  • IPv6 ACL

  • MAC ACL

VTY ACL

  • VTY

  • IPv4 ACL

  • IPv6 ACL

ACL の適用順序

デバイスは、パケットを処理する際に、そのパケットの転送パスを決定します。 デバイスがトラフィックに適用する ACL はパスによって決まります。 デバイスは、次の順序で ACL を適用します。

  1. ポート ACL

  2. 入力 VACL

  3. 入力ルータ ACL

  4. 入力 VTY ACL

  5. SGACL

  6. 出力 VTY ACL

  7. 出力ルータ ACL

  8. 出力 VACL

パケットが入力 VLAN 内でブリッジされる場合、ルータ ACL は適用されません。

図 1. ACL の適用順序. 次の図に、デバイスが ACL を適用する順序を示します。

図 2. ACL とパケット フロー .

次の図に、ACL のタイプに応じた ACL の適用場所を示します。 赤いパスは送信元とは異なるインターフェイス上の宛先に送信されるパケットを表しています。 青いパスは同じ VLAN 内でブリッジされるパケットを表しています。

デバイスは適用可能な ACL だけを適用します。 たとえば、入力ポートがレイヤ 2 ポートの場合、VLAN インターフェイスである VLAN 上のトラフィックには、ポート ACL とルータ ACL が両方とも適用される可能性があります。 さらに、その VLAN に VACL が適用される場合、デバイスはその VACL も適用します。





関連コンセプト

ルールについて

ACL によるネットワーク トラフィックのフィルタリング方法を設定する際に、何を作成、変更、削除するかを決めるのがルールです。 ルールは実行コンフィギュレーション内に表示されます。 ACL をインターフェイスに適用するか、またはインターフェイスにすでに適用されている ACL 内のルールを変更すると、スーパーバイザ モジュールは実行コンフィギュレーション内のルールから ACL のエントリを作成し、それらの ACL エントリを適用可能な I/O モジュールに送信します。 ACL の設定によっては、ルールよりも ACL エントリの方が数が多くなることがあります。特に、ルールを設定するときにオブジェクト グループを使用してポリシーベース ACL を実装する場合などです。

permit コマンドまたは deny コマンドを使用すると、アクセス リスト コンフィギュレーション モードでルールを作成できます。 これにより、デバイスは許可ルール内の基準と一致するトラフィックを許可し、拒否ルール内の基準と一致するトラフィックをブロックします。 ルールに一致するためにトラフィックが満たさなければならない基準を設定するためのオプションが多数用意されています。

ここでは、ルールを設定する際に使用できるオプションをいくつか紹介します。 すべてのオプションの説明については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』の該当する permit および deny コマンドを参照してください。

IP ACL のプロトコル

IPv4、IPv6、および MAC の ACL では、トラフィックをプロトコルで識別できます。 指定の際の手間を省くために、一部のプロトコルは名前で指定できます。 たとえば、IPv4 または IPv6 の ACL では、ICMP を名前で指定できます。

プロトコルはすべて番号で指定できます。 MAC ACL では、プロトコルをそのプロトコルの EtherType 番号(16 進数)で指定できます。 たとえば、MAC ACL ルールの IP トラフィックの指定に 0x0800 を使用できます。

IPv4 および IPv6 ACL では、インターネット プロトコル番号を表す整数でプロトコルを指定できます。たとえば、レイヤ 2 トンネリング プロトコル(L2TP)トラフィックを指定するには、115 を使用します。

各タイプの ACL に名前で指定できるプロトコルのリストは、『Cisco Nexus 7000 Series NX-OS Security Command Reference』の該当する permit および deny コマンドを参照してください。

送信元と宛先

各ルールには、ルールに一致するトラフィックの送信元と宛先を指定します。 指定する送信元および宛先には、特定のホスト、ホストのネットワークまたはグループ、あるいは任意のホストを使用できます。 送信元と宛先の指定方法は、IPv4、IPv6、または MAC のどの ACL を設定するのかによって異なります。 送信元と宛先の指定方法については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』の該当する permit および deny コマンドを参照してください。

IP ACL および MAC ACL の暗黙ルール

IP ACL および MAC ACL には暗黙ルールがあります。暗黙ルールは、実行コンフィギュレーションには設定されていませんが、ACL 内の他のルールと一致しない場合にデバイスがトラフィックに適用するルールです。 ACL のルール単位の統計情報を維持するようにデバイスを設定した場合、暗黙ルールの統計情報はデバイスに維持されません。

すべての IPv4 ACL には、次の暗黙のルールがあります。

deny ip any any


この暗黙ルールによって、デバイスは不一致 IP トラフィックを確実に拒否します。

すべての IPv6 ACL には、次の暗黙ルールがあります。

permit icmp any any nd-na 
permit icmp any any nd-ns 
permit icmp any any router-advertisement 
permit icmp any any router-solicitation 
deny ipv6 any any

ICMPv6 のネイバー探索メッセージを拒否するルールを持つ IPv6 ACL を設定した場合を除き、最初の 4 つのルールによって、デバイスはネイバー探索アドバタイズメント メッセージと請求メッセージを許可するようになります。 5 つめのルールにより、デバイスは不一致の IPv6 トラフィックを拒否します。


(注)  


IPv6 の ACL に deny ipv6 any any というルールを明示的に設定すると、暗黙の permit ルールでトラフィックをまったく許可できなくなります。 deny ipv6 any any というルールを明示的に設定するものの、ICMPv6 ネイバー探索メッセージは許可したい場合は、5 つの暗黙の IPv6 ACL ルールをすべて明示的に設定します。


すべての MAC ACL には、次の暗黙のルールがあります。

deny any any protocol

この暗黙ルールによって、デバイスは、トラフィックのレイヤ 2 ヘッダーに指定されているプロトコルに関係なく、不一致トラフィックを確実に拒否します。

その他のフィルタリング オプション

追加のオプションを使用してトラフィックを識別できます。 これらのオプションは、ACL のタイプによって異なります。 次のリストには、ほとんどの追加フィルタリング オプションが含まれていますが、すべてを網羅しているわけではありません。

  • IPv4 ACL には、次の追加フィルタリング オプションが用意されています。

    • レイヤ 4 プロトコル

    • 認証ヘッダー プロトコル

    • Enhanced Interior Gateway Routing Protocol(EIGRP)

    • カプセル化セキュリティ ペイロード

    • 総称ルーティング カプセル化(GRE)

    • KA9Q NOS 互換 IP over IP トンネリング

    • Open Shortest Path First(OSPF)

    • ペイロード圧縮プロトコル

    • プロトコル独立型マルチキャスト(PIM)

    • TCP/UDP ポート

    • ICMP タイプおよびコード

    • IGMP タイプ

    • 優先レベル

    • DiffServ コード ポイント(DSCP)値

    • ACK、FIN、PSH、RST、SYN、または URG ビットがセットされた TCP パケット

    • 確立済み TCP 接続

    • パケット長

  • IPv6 ACL では、次のフィルタリング オプションが追加されています。

    • レイヤ 4 プロトコル

    • 認証ヘッダー プロトコル

    • カプセル化セキュリティ ペイロード

    • ペイロード圧縮プロトコル

    • ストリーム制御転送プロトコル(SCTP)

    • SCTP、TCP、および UDP の各ポート

    • ICMP タイプおよびコード

    • IGMP タイプ

    • フロー ラベル

    • DSCP 値

    • ACK、FIN、PSH、RST、SYN、または URG ビットがセットされた TCP パケット

    • 確立済み TCP 接続

    • パケット長

  • MAC ACL は、次の追加フィルタリング オプションをサポートしています。

    • レイヤ 3 プロトコル

    • VLAN ID

    • サービス クラス(CoS)

ルールに適用できるすべてのフィルタリング オプションについては、『Cisco Nexus 7000 Series NX-OS Security Command Reference』の該当する permit および deny コマンドを参照してください。

シーケンス番号

デバイスはルールのシーケンス番号をサポートしています。 入力するすべてのルールにシーケンス番号が割り当てられます(ユーザによる割り当てまたはデバイスによる自動割り当て)。 シーケンス番号によって、次の ACL 設定作業が容易になります。

既存のルールの間に新しいルールを追加

シーケンス番号を指定することによって、ACL 内での新規ルールの挿入場所を指定します。 たとえば、ルール番号 100 と 110 の間に新しいルールを挿入する必要がある場合は、シーケンス番号 105 を新しいルールに割り当てます。

ルールの削除

シーケンス番号を使用しない場合は、ルールを削除するために、次のようにルール全体を入力する必要があります。

switch(config-acl)# no permit tcp 10.0.0.0/8 any

このルールに 101 番のシーケンス番号が付いていれば、次のコマンドだけでルールを削除できます。

switch(config-acl)# no 101
ルールの移動

シーケンス番号を使用すれば、同じ ACL 内の異なる場所にルールを移動する必要がある場合に、そのルールのコピーをシーケンス番号で正しい位置に挿入してから、元のルールを削除できます。 この方法により、トラフィックを中断せずにルールを移動できます。

シーケンス番号を使用せずにルールを入力すると、デバイスはそのルールを ACL の最後に追加し、そのルールの直前のルールのシーケンス番号よりも 10 大きい番号を割り当てます。 たとえば、ACL 内の最後のルールのシーケンス番号が 225 で、シーケンス番号を指定せずにルールを追加した場合、デバイスはその新しいルールにシーケンス番号 235 を割り当てます。

さらに、Cisco NX-OS では ACL 内のルールにシーケンス番号を再割り当てすることも可能です。 シーケンス番号の再割り当ては、ACL 内に、100、101 のように連続するシーケンス番号のルールがある場合、それらのルールの間に 1 つ以上のルールを挿入する必要があるときに便利です。

論理演算子と論理演算ユニット

TCP および UDP トラフィックの IP ACL ルールでは、論理演算子を使用して、ポート番号に基づきトラフィックをフィルタリングできます。 このデバイスは、論理演算ユニット(LOU)というレジスタに、演算子とオペランドの組み合わせを格納します。 Cisco Nexus 7000 シリーズ デバイスは 104 の LOU をサポートしています。

各タイプの演算子は、次のように LOU を使用します。

eq
LOU には格納されません。
gt
1/2 LOU を使用します。
lt
1/2 LOU を使用します。
neq
1/2 LOU を使用します。
range
1 LOU を使用します。

デバイスは、次の場合に演算子とオペランドの組み合わせを LOU に格納します。

  • 演算子またはオペランドが、他のルールで使用されている演算子とオペランドの組み合わせと異なる場合、この組み合わせは LOU に格納されます。

    たとえば、演算子とオペランドの組み合わせ「gt 10」と「gt 11」は、別々に LOU の半分に格納されます。 「gt 10」と「lt 10」も別々に格納されます。

  • 演算子とオペランドの組み合わせがルール内の送信元ポートと宛先ポートのうちどちらに適用されるかは、LOU の使用方法に影響を与えます。 同じ組み合わせの一方が送信元ポートに、他方が宛先ポートに別々に適用される場合は、2 つの同じ組み合わせが別々に格納されます。

    たとえば、あるルールによって、演算子とオペランドの組み合わせ「gt 10」が送信元ポートに、別のルールによって同じ組み合わせ「gt 10」が宛先ポートに適用される場合、両方の組み合わせが LOU の半分に格納され、結果として 1 つの LOU 全体が使用されることになります。 このため、「gt 10」を使用するルールが追加されても、これ以上 LOU は使用されません。

ロギング

ルールに一致するパケットに関する情報ログ メッセージの作成をイネーブルにできます。 ログ メッセージには、パケットについての次の情報が含まれます。

  • プロトコル

  • TCP、UDP、または ICMP のいずれのパケットか、あるいは、番号が付けられただけのパケットか

  • 送信元と宛先のアドレス

  • 送信元と宛先のポート番号(該当する場合)

ACL キャプチャ

インターフェイスまたは VLAN 上のトラフィックを選択的にモニタするために、ACL キャプチャを設定できます。

ACL ルールのキャプチャ オプションをイネーブルにすると、このルールに一致したパケットは、指定された permit または deny アクションに基づいて転送またはドロップされます。また、さらに分析するために代替の宛先ポートにコピーされる可能性もあります。

キャプチャ オプションでの ACL ルールは、次のように適用できます。
  • VLAN 上で

  • すべてのインターフェイス上の入力方向に

  • すべてのレイヤ 3 インターフェイス上の出力方向に

ACL キャプチャは、さまざまなシナリオで使用できます。 たとえば、ACL キャプチャで ACL ルールを使用してトンネルに属するパケットを識別したり、トンネル パケットのコピー(またはキャプチャ)を特定の宛先に送信したりできます。 また、ACL キャプチャを使用すると、特定の VLAN 上のすべての HTTP トラフィックをモニタすることもできます。

最後に、キャプチャ セッションを ACL ルールごとに設定するのではなく、ACL 全体に対して設定することも可能です。 この設定により、キャプチャ セッションがすべての ACL ルールに適用されます。

時間範囲

時間範囲を使用して、ACL ルールが有効になる時期を制御できます。 たとえば、インターフェイスに着信するトラフィックに特定の ACL を適用するとデバイスが判断し、その ACL のあるルールの時間範囲が有効になっていない場合、デバイスは、トラフィックをそのルールと照合しません。 デバイスは、そのデバイスのクロックに基づいて時間範囲を評価します。

時間範囲を使用する ACL を適用すると、デバイスはその ACL で参照される時間範囲の開始時または終了時に影響する I/O モジュールをアップデートします。 時間範囲によって開始されるアップデートはベストエフォート型のプライオリティで実行されます。 時間範囲によってアップデートが生じたときにデバイスの処理負荷が非常に高い場合、デバイスはアップデートを最大数秒間遅らせることがあります。

IPv4、IPv6、および MAC の各 ACL は時間範囲をサポートしています。 デバイスがトラフィックに ACL を適用する場合、有効なルールは次のとおりです。

  • 時間範囲が指定されていないすべてのルール

  • デバイスがその ACL をトラフィックに適用した時点(秒)が時間範囲に含まれているルール

名前が付けられた時間範囲は再利用できます。多くの ACL ルールを設定する場合は、時間範囲を名前で一度設定すれば済みます。 時間範囲の名前は最大 64 の英文字で指定します。

時間範囲には、1 つまたは複数のルールで構成されます。 これらのルールは次の 2 種類に分類できます。

絶対

特定の開始日時、終了日時、その両方を持つルール、またはそのどちらも持たないルール。 絶対時間範囲のルールがアクティブかどうかは、開始日時または終了日時の有無によって、次のように決まります。

  • 開始日時と終了日時が両方指定されている:この時間範囲ルールは、現在の時刻が開始日時よりも後で終了日時よりも前の場合にアクティブになります。

  • 開始日時が指定され、終了日時は指定されていない:この時間範囲ルールは、現在の時刻が開始日時よりも後である場合にアクティブになります。

  • 開始日時は指定されず、終了日時が指定されている:この時間範囲ルールは、現在の時刻が終了日時よりも前である場合にアクティブになります。

  • 開始日時も終了日時も指定されていない:この時間範囲ルールは常にアクティブです。

たとえば、新しいサブネットへのアクセスを許可するようにネットワークを設定する場合、そのサブネットをオンラインにする予定日の真夜中からアクセスを許可するような時間範囲を指定し、 この時間範囲をそのサブネットに適用する ACL ルールに使用します。 デバイスはこのルールを含む ACL を適用する場合、開始日時が過ぎると、この時間範囲を使用するルールの適用を自動的に開始します。

定期

毎週 1 回以上アクティブになるルール。 たとえば、定期時間範囲を使用すると、平日の営業時間中だけ、研究室のサブネットにアクセスできるようにすることができます。 デバイスは、そのルールを含む ACL が適用されていて、時間範囲がアクティブな場合にだけ、この時間範囲を使用する ACL ルールを自動的に適用します。


(注)  


デバイスは、時間範囲内のルールの順序に関係なく、時間範囲がアクティブかどうかを判断します。 Cisco NX-OS は、時間範囲を編集できるように時間範囲内にシーケンス番号を入れます。


時間範囲には備考を含めることもできます。備考を使用すると、時間範囲にコメントを挿入できます。 備考は、最大 100 文字の英数字で指定します。

デバイスは次の方法で時間範囲がアクティブかどうかを判断します。

  • 時間範囲に絶対ルールが 1 つまたは複数含まれている:現在の時刻が 1 つまたは複数の絶対ルールの範囲内であれば、その時間範囲はアクティブです。

  • 時間範囲に定期ルールが 1 つまたは複数含まれている:現在の時刻が 1 つまたは複数の定期ルールの範囲内であれば、その時間範囲はアクティブです。

  • 時間範囲に絶対ルールと定期ルールが両方含まれている:現在の時刻が 1 つまたは複数の絶対ルールと 1 つ以上の定期ルールの範囲内にある場合に、その時間範囲はアクティブです。

時間範囲に絶対ルールと定期ルールが両方含まれている場合、定期ルールがアクティブになるのは、最低 1 つの絶対ルールがアクティブな場合だけです。

ポリシーベース ACL

デバイスはポリシーベース ACL(PBACL)をサポートしています。PBACL を使用すると、オブジェクト グループ全体にアクセス コントロール ポリシーを適用できます。 オブジェクト グループは、IP アドレスのグループまたは TCP ポートもしくは UDP ポートのグループです。 ルール作成時に、IP アドレスやポートを指定するのではなく、オブジェクト グループを指定できます。

IPv4 または IPv6 の ACL の設定にオブジェクト グループを使用すると、ルールの送信元または宛先に対してアドレスまたはポートの追加や削除を行う場合に、ACL を簡単にアップデートできます。 たとえば、3 つのルールが同じ IP アドレス グループ オブジェクトを参照している場合は、3 つのすべてのルールを変更しなくても、オブジェクトに IP アドレスを追加すれば済みます。

PBACL を使用しても、インターフェイスに ACL を適用する際にその ACL が必要とするリソースは減りません。 PBACL の適用時、またはすでに適用されている PBACL のアップデート時には、デバイスはオブジェクト グループを参照する各ルールを展開し、グループ内の各オブジェクトと ACL エントリが 1 対 1 になるようにします。 あるルールに、送信元と宛先が両方ともオブジェクト グループとして指定されている場合、この PBACL を適用する際に I/O モジュールに作成される ACL エントリの数は、送信元グループ内のオブジェクト数に宛先グループ内のオブジェクト数をかけた値になります。

ポート、ルータ、 VLAN の ACL には、次のオブジェクト グループ タイプが適用されます。

IPv4 アドレス オブジェクト グループ

IPv4 ACL ルールで送信元または宛先アドレスの指定に使用できます。 permit コマンドまたは deny コマンドを使用してルールを設定する際に、addrgroup キーワードを使用すると、送信元または宛先のオブジェクト グループを指定できます。

IPv6 アドレス オブジェクト グループ

IPv6 ACL ルールで送信元または宛先アドレスの指定に使用できます。 permit コマンドまたは deny コマンドを使用してルールを設定する際に、addrgroup キーワードを使用すると、送信元または宛先のオブジェクト グループを指定できます。

プロトコル ポート オブジェクト グループ

IPv4 および IPv6 の TCP および UDP ルールで送信元または宛先のポートの指定に使用できます。 permit コマンドまたは deny コマンドを使用してルールを設定する際に、portgroup キーワードを使用すると、送信元または宛先のオブジェクト グループを指定できます。

統計情報と ACL

このデバイスは IPv4 ACL、IPv6 ACL、および MAC ACL に設定した各ルールのグローバル統計を保持できます。 1 つの ACL が複数のインターフェイスに適用される場合、ルール統計には、その ACL が適用されるすべてのインターフェイスと一致する(ヒットする)パケットの合計数が維持されます。


(注)  


インターフェイスレベルの ACL 統計はサポートされていません。


設定する ACL ごとに、その ACL の統計情報をデバイスが維持するかどうかを指定できます。これにより、ACL によるトラフィック フィルタリングが必要かどうかに応じて ACL 統計のオン、オフを指定できます。また、ACL 設定のトラブルシューティングにも役立ちます。

デバイスには ACL の暗黙ルールの統計情報は維持されません。 たとえば、すべての IPv4 ACL の末尾にある暗黙の deny ip any any ルールと一致するパケットのカウントはデバイスに維持されません。 暗黙ルールの統計情報を維持する場合は、暗黙ルールと同じルールを指定した ACL を明示的に設定する必要があります。

Atomic ACL のアップデート

Atomic ACL のアップデートは、既存の ACL とアップデートした ACL の両方が TCAM メモリにプログラミングされたハードウェア操作です。 これが操作のデフォルト モードです。 このアップデート法の利点は、ACL の変更がサービスに影響しないということです。 ACL を変更するとき、現在の ACL が TCAM にすでにプログラミングされています。 そして Cisco Nexus 7000 シリーズのデバイスは、現在の ACL を取得して、それを変更分とマージして ACL プライムを生成します。 ACL プライムもまた、TCAM にプログラムされます。 その後 Cisco Nexus 7000 シリーズのデバイスは、ポインタを変更して ACL プライムをインターフェイスに関連付けられるようにします。 最後の手順として、TCAM から古い ACL を削除します。 これは機能的には、Atomic ACL のアップデートを使用する場合、ACL TCAM リソースの 50 パーセントを超えることができないということを意味します。 Atomic ACL のアップデートがアクティブなときに ACL リソースの 50 パーセントを超えると、「ERROR: Tcam will be over used, please turn off atomic update」というメッセージを受信し、新しい ACL の変更は適用されません。

Nonatomic ACL のアップデートは、50 パーセント超の ACL TCAM を使用している場合に必要です。 このモードがアクティブな場合、Cisco Nexus 7000 シリーズのデバイスは、早急に TCAM から古い ACL を削除して、それを ACL プライムに置き換えます。 これにより、最大 100 パーセントの ACL TCAM を使用できますが、マイナス面としてサービスの一時中断が起きる場合があります。それは、古い ACL によって許可されたパケットが ACL プライムが ACL TCAM に正常にプログラムされるまでドロップされるためです。

デフォルトでは、Cisco Nexus 7000 シリーズのデバイスのスーパーバイザ モジュールで、ACL の変更を I/O モジュールにアップデートする際には、Atomic ACL のアップデートを実行します。 Atomic アップデートでは、アップデートされる ACL が適用されるトラフィックを中断させることがありません。しかし、Atomic アップデートでは、ACL のアップデートを受け取る I/O モジュールに、関係する ACL の既存のすべてのエントリに加えて、アップデートされた ACL エントリを保存するのに十分なリソースがあることが必要です。 アップデートが行われた後、アップデートに使用されたリソースは開放されます。 I/O モジュールに十分なリソースがない場合は、デバイスからエラー メッセージが出力され、この I/O モジュールに対する ACL のアップデートは失敗します。

I/O モジュールに Atomic アップデートに必要なリソースがない場合は、no hardware access-list update atomic コマンドを使用して Atomic アップデートをディセーブルにすることができますが、デバイスで既存の ACL を削除して、アップデートされた ACL を適用するには、多少の時間がかかります。ACL が適用されるトラフィックは、デフォルトでドロップされます。

ACL が適用されるすべてのトラフィックを許可し、同時に非 Atomic アップデートを受信するようにするには、hardware access-list update default-result permit コマンドを使用してください。


(注)  


hardware access-list update コマンドはデフォルトの VDC でだけ使用できます。ただし、すべての VDC に適用されます。


次の例では、ACL に対する Atomic アップデートをディセーブルにする方法を示します。

switch# config t 
switch(config)# no hardware access-list update atomic

次の例では、非 Atomic ACL アップデートの際に、関連するトラフィックを許可する方法を示します。

switch# config t 
switch(config)# hardware access-list update default-result permit

次の例では、Atomic アップデート方式に戻る方法を示します。

switch# config t 
switch(config)# no hardware access-list update default-result permit 
switch(config)# hardware access-list update atomic

Atomic ACL アップデートの計画

各モジュールのすべての ACL で使用している ACE(Access Control Element)の数を認識するために必要な Atomic ACL アップデートを適切に計画します。 また、TCAM がサポートできる ACE の数を把握する必要があります。 show hardware access-list resource utilization mod module-number コマンドを使用して現在の使用状況を確認できます。

show hardware access-list resource
utilization mod 3
 INSTANCE 0x0
 -------------
 ACL Hardware Resource Utilization (Mod 3)
 --------------------------------------------
                Used  Free  Percent 
                            Utilization
 -----------------------------------------------------
 Tcam 0, Bank 0  1   16383  0.01
 Tcam 0, Bank 1  2   16382  0.01
 Tcam 1, Bank 0  7   16377  0.04
 Tcam 1, Bank 1  138 16246  0.84

M シリーズ モジュールの場合、ACL TCAM は 4 バンクに分散されます。 非 XL モジュールの場合、各バンクに合計 64K エントリーに対し 16,000 エントリがあります。 XL モジュールの場合、各バンクに合計 128,000 エントリーに対し 32,000 エントリがあります。 通常、単一の ACL は単一の TCAM バンクのリソースのみを使用します。 単一の ACL が、すべてのバンクからのリソースを使用することをイネーブルにするには、hardware access-list resource pooling module mod-number コマンドを使用してバンク プーリングを有効にする必要があります。

バンク プーリングがイネーブルにされたことを show hardware access-list resource pooling コマンドで確認できます。

ACL TCAM バンク マッピング

ACL Ternary Control Address Memory(TCAM)バンク マッピングにより、TCAM バンクがより予測可能な方法でより多くの機能の組み合わせに対応できるようになります。 機能は、機能グループにあらかじめ分類され、TCAM バンクとの共存が許可される機能に応じてさらに機能クラスに事前定義されます。 たとえば、1 つのポート ACL(ポート ACL)機能と 1 つのレイヤ 2 NetFlow 機能は、1 つの機能クラスとして定義されます。 これらのクラスは、特定のバンクに割り当てられます。 特定の TCAM バンクでサポートされない機能クラスをイネーブルまたはディセーブルにするとエラー メッセージが表示されます。

ACL TCAM バンク マッピングにより、一連の機能を同時に設定したり、共存できない機能の組み合わせが同じ TCAM バンクに設定された場合に蓄積する複数の結果を削減することができます。 この機能を使用すると、領域を最適化し、TCAM バンクの使用率を最大化できます。

IP ACL に対する Session Manager のサポート

Session Manager は IP ACL および MAC ACL の設定をサポートしています。 この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。

IP ACL のバーチャライゼーション サポート

仮想デバイス コンテキスト(VDC)で使用される IP ACL および MAC ACL には、次の事項が適用されます。

  • ACL は各 VDC に固有です。 ある VDC に作成した ACL は別の VDC に使用できません。

  • ACL が複数の VDC に共有されることはないので、ACL 名は他の VDC に再利用できます。

  • デバイスは、ACL やルールを VDC 単位では制限しません。

  • アトミック ACL 更新の設定は、デフォルト VDC で実行する必要がありますが、すべての VDC に適用されます。

IP ACL のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

IP ACL を使用するためにライセンスは必要ありません。 ただし、XL ラインカードを使用して最大 128K の ACL エントリをサポートするには、スケーラブルなサービス ライセンスをインストールする必要があります。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

IP ACL の前提条件

IP ACL の前提条件は次のとおりです。

  • IP ACL を設定するためには、IP アドレッシングおよびプロトコルに関する知識が必要です。

  • ACL を設定するインターフェイス タイプについての知識が必要です。

IP ACL の注意事項と制約事項

IP ACL の設定に関する注意事項と制約事項は次のとおりです。

  • ACL の設定には Session Manager を使用することを推奨します。 この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。 この機能は、約 1,000 以上のルールが含まれている ACL に対して特に有効です。 Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

  • ほとんどの場合、IP パケットに対する ACL 処理は I/O モジュール上で実行されます。これには、ACL 処理を加速化するハードウェアを使用します。 場合によっては、スーパーバイザ モジュールで処理が実行されることもあります。この場合、特に非常に多数のルールが設定されている ACL を処理する際には、処理速度が遅くなることがあります。 管理インターフェイス トラフィックは、常にスーパーバイザ モジュールで処理されます。 次のカテゴリのいずれかに属する IP パケットがレイヤ 3 インターフェイスから出る場合、これらのパケットはスーパーバイザ モジュールに送られて処理されます。

    • レイヤ 3 最大伝送ユニット チェックに失敗し、そのためにフラグメント化を要求しているパケット

    • IP オプションがある IPv4 パケット(追加された IP パケット ヘッダーのフィールドは、宛先アドレス フィールドの後)

    • 拡張 IPv6 ヘッダー フィールドがある IPv6 パケット

    レート制限を行うことで、リダイレクト パケットによってスーパーバイザ モジュールに過剰な負荷がかかるのを回避します。


    (注)  


    Cisco NX-OS Release 4.2(3) よりも前のリリースでは、ACL ロギングは、スーパーバイザ モジュールで生じる ACL 処理には対応していません。


  • 時間範囲を使用する ACL を適用すると、デバイスはその ACL で参照される時間範囲の開始時または終了時に、影響する I/O モジュールに対する ACL エントリをアップデートします。 時間範囲によって開始されるアップデートはベストエフォート型のプライオリティで実行されます。 時間範囲によってアップデートが生じたときにデバイスの処理負荷が非常に高い場合、デバイスはアップデートを最大数秒間遅らせることがあります。

  • IP ACL を VLAN インターフェイスに適用するためには、VLAN インターフェイスをグローバルにイネーブル化する必要があります。 VLAN インターフェイスの詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Configuration Guide』を参照してください。

  • サポートされる IP ACL エントリの最大数は、XL ライン カードを使用しないデバイスで 64,000、XL ライン カードを使用するデバイスで 128,000 です。

  • XL 以外のラインカードに適用する ACL エントリが多すぎると、設定が拒否されます。

    VTY ACL 機能はすべての VTY 回線のすべてのトラフィックを制限します。 異なる VTY 回線に異なるトラフィックの制限を指定できません。

    どのルータの ACL も VTY ACL として設定できます。

  • VTY に設定された ACL は、mgmt0 インターフェイスには適用されません。 Mgmt0 ACL は特にインターフェイスに適用する必要があります。

  • Cisco Nexus 2000 シリーズ Fabric Extender は、親の Cisco Nexus 7000 シリーズ デバイスで使用可能な入力 ACL をフルレンジでサポートしています。 Fabric Extender に関する詳細については、『Configuring the Cisco Nexus 2000 Series Fabric Extender』を参照してください。

  • ACL ポリシーは Fabric Extender ファブリック ポート チャネルではサポートされません。

  • ACL キャプチャはハードウェアベース機能で、管理インターフェイスまたはスーパーバイザで発信される制御パケットではサポートされません。 さらに、SNMP コミュニティ ACL および VTY ACL などのソフトウェア ACL でもサポートされません。

  • ACL キャプチャをイネーブルにすると、すべての VDC の ACL ロギングと ACL ロギングのレート制限がディセーブルになります。

  • ポートチャネル インターフェイス、およびスーパーバイザ インバンド ポートは ACL キャプチャの宛先としてサポートされません。

  • ACL キャプチャ セッションの宛先インターフェイスは、入力転送と入力の MAC の学習をサポートしません。 宛先インターフェイスでこれらオプションが設定されている場合、モニタが ACL のキャプチャ セッションをダウン状態にし続けます。 入力転送および MAC の学習がイネーブルになっているかどうかを確認するには、show monitor session all コマンドを使用します。

    (注)  


    インターフェイスで入力転送および MAC 学習をディセーブルにするには、switchport monitor コマンドを使用できます。


  • パケットの送信元ポートと ACL キャプチャの宛先ポートは、同じパケット複製 ASIC の一部であってはなりません。 両方のポートが同じ ASIC に属する場合、パケットはキャプチャされません。 show monitor session コマンドにより、ACL キャプチャの宛先ポートとして同じ ASIC に接続するすべてのポートが表示されます。

  • すべての VDC につき、システムで同時にアクティブにできる ACL キャプチャ セッションは 1 つだけです。

  • hardware access-list capture コマンドを設定する前に ACL キャプチャ モニタ セッションを設定する場合は、モニタ セッションをシャット ダウンし、バックアップをしてセッションを開始する必要があります。

  • 未定義の ACL をインターフェイスに適用すると、システムは空の ACL と見なし、すべてのトラフィックを許可します。

  • リソース プーリングと ACL TCAM バンク マッピングを同時にイネーブルにすることはできません。

  • 共有インターフェイス上では、mac packet-classify コマンドを設定できません。

  • M1 シリーズ モジュール

    • M1 シリーズ モジュールのサポート ACL キャプチャ。

    • FCoE ACL は M1 シリーズ モジュールではサポートされません。

    • M1 シリーズ モジュールでは、mac packet-classify コマンドによってポートおよび VLAN ポリシーの MAC ACL がイネーブルになります

    • M1 シリーズ モジュールは WCCP をサポートします。

  • M2 シリーズ モジュール

    • M2 シリーズ モジュールのサポート ACL キャプチャ。

    • FCoE ACL は M2 シリーズ モジュールではサポートされません。

    • M2 シリーズ モジュールでは、mac packet-classify コマンドによってポートおよび VLAN ポリシーの MAC ACL がイネーブルになります

    • M2 シリーズ モジュールは WCCP をサポートします。

  • F1 シリーズ モジュール

    • F1 シリーズ モジュールの各転送エンジンは 1000 の入力 ACL エントリをサポートします。また、984 のエントリがユーザ設定に使用できます。 F1 シリーズ モジュール用の IP ACL エントリの総数は 1000 ~ 16,000 です。転送エンジンに応じてポリシーが適用されます。

    • F1 シリーズ モジュールの 16 の転送エンジンごとに、複数の ACL で最大 250 の IPv6 アドレスをサポートします。

    • 各ポート ACL は、F1 シリーズ モジュールの異なるレイヤ 4 演算を最大 4 つサポートできます。

    • F1 シリーズ モジュールはルータ ACL をサポートしていません。

    • F1 シリーズ モジュールには、ACL ロギングをサポートしていません。

    • F1 シリーズ モジュールはバンク チェーニングをサポートしていません。

    • F1 シリーズ モジュールは ACL キャプチャをサポートしていません。

    • FCoE ACL は、F1 シリーズ モジュールでのみサポートされます。

    • F1 シリーズ モジュールでは、WCCP はサポートされません。

    • F1 シリーズ モジュールでは、ACL TCAM バンク マッピングはサポートされません。

    • F1 シリーズ モジュール プロキシ転送トラフィックの場合、ACL 分類は次の表に示すレイヤ 3 プロトコルと照合されます。
      表 2 プロトコル番号と関連付けられているレイヤ 3 プロトコル
      プロトコル番号 レイヤ 3 プロトコル
      1 ICMP
      2 IGMP
      4 IPv4 カプセル化
      6 TCP
      17 UDP

      (注)  


      表に記載されていないレイヤ 3 プロトコルは、プロトコル番号 4(IPv4 カプセル化)に分類されます。
  • F2 シリーズ モジュール

    • F2 シリーズ モジュールの 12 の転送エンジンごとに、総数 16,000 の TCAM エントリが 2 つのバンクに対して均等に分割されます。 デフォルトの 168 エントリが予約されます。 各転送エンジンは、512 の IPv6 圧縮 TCAM エントリを持ちます。

    • F2 シリーズ モジュールは ACL キャプチャをサポートしていません。

    • FCoE ACL は F2 シリーズ モジュールではサポートされません。

    • F2 シリーズ モジュールの場合、出力 ACL の log オプションはマルチキャスト パケットではサポートされません。

    • F2 シリーズ モジュールが異なる VDC 間で共有されている場合、1 つの VDC で設定された出力 ACL は別の VDC に押し出されます。

    • F2 シリーズ モジュールは SVI の出力 WCCP をサポートしていません。

    • F2 シリーズ モジュールの場合、mac packet-classify コマンドにより、VLAN ポリシーの IPv4 ACL または IPv6 ACL ではなく、ポート ポリシーの MAC ACL をイネーブルにします。

IP ACL のデフォルト設定

次の表に、IP ACL パラメータのデフォルト設定を示します。

表 3 IP ACL パラメータのデフォルト値

パラメータ

デフォルト

IP ACL

デフォルトでは IP ACL は存在しません。

ACL ルール

すべての ACL に暗黙のルールが適用されます。

ACL キャプチャ

ディセーブル

オブジェクト グループ

デフォルトではオブジェクト グループは存在しません。

時間範囲

デフォルトでは時間範囲は存在しません。

ACL TCAM バンク マッピング

ディセーブル

IP ACL の設定

IP ACL の作成

デバイスに IPv4 ACL または IPv6 ACL を作成し、これにルールを追加できます。

はじめる前に

ACL の設定には Session Manager を使用することを推奨します。 この機能によって、ACL の設定を確認し、設定を実行コンフィギュレーションにコミットする前に、その設定が必要とするリソースが利用可能かどうかを確認できます。 この機能は、約 1,000 以上のルールが含まれている ACL に対して特に有効です。 Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

手順の概要

    1.    configure terminal

    2.    次のいずれかのコマンドを入力します。

    • ip access-list name
    • ipv6 access-list name

    3.    (任意) fragments {permit-all | deny-all}

    4.    [sequence-number] {permit | deny} protocol source destination

    5.    (任意) statistics per-entry

    6.    (任意) 次のいずれかのコマンドを入力します。

    • show ip access-lists name
    • show ipv6 access-lists name

    7.    (任意) copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
    
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2次のいずれかのコマンドを入力します。
    • ip access-list name
    • ipv6 access-list name


    例:
    switch(config)# ip access-list acl-01
    switch(config-acl)#
    
     

    IP ACL を作成して、IP ACL コンフィギュレーション モードを開始します。 name 引数は 64 文字以内で指定します。

     
    ステップ 3 fragments {permit-all | deny-all}


    例:
    switch(config-acl)# fragments permit-all
    
     
    (任意)

    初期状態でないフラグメントのフラグメント処理を最適化します。 デバイスで、fragments コマンドが含まれる ACL がトラフィックに適用される場合、fragments コマンドは、ACL での明示的な permit コマンドまたは deny コマンドに一致しない非初期フラグメントだけに一致します。

     
    ステップ 4 [sequence-number] {permit | deny} protocol source destination


    例:
    switch(config-acl)# permit ip 192.168.2.0/24 any
    
     

    IP ACL 内にルールを作成します。 多数のルールを作成できます。 sequence-number 引数には、1 ~ 4294967295 の整数を指定します。

    permit コマンドと deny コマンドには、トラフィックを識別するための多くの方法が用意されています。 詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

     
    ステップ 5 statistics per-entry


    例:
    switch(config-acl)# statistics per-entry
    
     
    (任意)

    その ACL のルールと一致するパケットのグローバル統計をデバイスが維持するように設定します。

     
    ステップ 6次のいずれかのコマンドを入力します。
    • show ip access-lists name
    • show ipv6 access-lists name


    例:
    switch(config-acl)# show ip access-lists acl-01
    
     
    (任意)

    IP ACL の設定を表示します。

     
    ステップ 7 copy running-config startup-config


    例:
    switch(config-acl)# copy running-config startup-config
    
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     

    IP ACL の変更

    既存の IPv4 ACL または IPv6 ACL のルールの追加と削除は実行できますが、既存のルールを変更することはできません。 ルールを変更するには、そのルールを削除してから、変更を加えたルールを再作成します。

    既存のルールの間に新しいルールを挿入する必要がある場合で、現在のシーケンス番号の空き状況ではすべてを挿入できないときは、resequence コマンドを使用してシーケンス番号を再割り当てします。

    はじめる前に

    ACL の設定には Session Manager を使用することを推奨します。 この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。 この機能は、約 1,000 以上のルールが含まれている ACL に対して特に有効です。 Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

    手順の概要

      1.    configure terminal

      2.    次のいずれかのコマンドを入力します。

      • ip access-list name
      • ipv6 access-list name

      3.    (任意) [sequence-number] {permit | deny} protocol source destination

      4.    (任意) [no] fragments {permit-all | deny-all}

      5.    (任意) no {sequence-number | {permit | deny} protocol source destination}

      6.    (任意) [no] statistics per-entry

      7.    (任意) 次のいずれかのコマンドを入力します。

      • show ip access-lists name
      • show ipv6 access-lists name

      8.    (任意) copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      switch# configure terminal
      switch(config)#
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 次のいずれかのコマンドを入力します。
      • ip access-list name
      • ipv6 access-list name


      例:
      switch(config)# ip access-list acl-01
      switch(config-acl)#
       

      名前で指定した ACL の IP ACL コンフィギュレーション モードを開始します。

       
      ステップ 3 [sequence-number] {permit | deny} protocol source destination


      例:
      switch(config-acl)# 100 permit ip 192.168.2.0/24 any
       
      (任意)

      IP ACL 内にルールを作成します。 シーケンス番号を指定すると、ACL 内のルール挿入位置を指定できます。 シーケンス番号を指定しないと、ルールは ACL の末尾に追加されます。 sequence-number 引数には、1 ~ 4294967295 の整数を指定します。

      permit コマンドと deny コマンドには、トラフィックを識別するための多くの方法が用意されています。 詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

       
      ステップ 4 [no] fragments {permit-all | deny-all}


      例:
      switch(config-acl)# fragments permit-all
      
       
      (任意)

      初期状態でないフラグメントのフラグメント処理を最適化します。 デバイスで、fragments コマンドが含まれる ACL がトラフィックに適用される場合、fragments コマンドは、ACL での明示的な permit コマンドまたは deny コマンドに一致しない非初期フラグメントだけに一致します。

      no オプションを使用すると、フラグメント処理の最適化が削除されます。

       
      ステップ 5 no {sequence-number | {permit | deny} protocol source destination}


      例:
      switch(config-acl)# no 80
       
      (任意)

      指定したルールを IP ACL から削除します。

      permit コマンドと deny コマンドには、トラフィックを識別するための多くの方法が用意されています。 詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

       
      ステップ 6 [no] statistics per-entry


      例:
      switch(config-acl)# statistics per-entry
       
      (任意)

      その ACL のルールと一致するパケットのグローバル統計をデバイスが維持するように設定します。

      no オプションを使用すると、デバイスはその ACL のグローバル統計の維持を停止します。

       
      ステップ 7 次のいずれかのコマンドを入力します。
      • show ip access-lists name
      • show ipv6 access-lists name


      例:
      switch(config-acl)# show ip access-lists acl-01
       
      (任意)

      IP ACL の設定を表示します。

       
      ステップ 8 copy running-config startup-config


      例:
      switch(config-acl)# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       

      VTY ACL の作成

      入力方向または出力方向の全 VTY 回線で、すべての IPv4 または IPv6 トラフィックへのアクセスを制御することにより、VTY ACL を設定できます。

      はじめる前に

      すべての仮想端末回線にユーザが接続できるため、すべての仮想端末回線に同じ制約を設定する必要があります。

      正しい VDC を使用していることを確認します(または switchto vdc コマンドを使用します)。

      ACL の設定には Session Manager を使用することを推奨します。 この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認でき、特に約 1000 以上のルールを含む ACL に役立ちます。 Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

      手順の概要

        1.    configure terminal

        2.    {ip | ipv6} access-list name

        3.    {permit | deny} protocol source destination [log] [time-range time]

        4.    exit

        5.    line vty

        6.    {ip | ipv6} access-class name {in | out}

        7.    (任意) show {ip | ipv6} access-lists

        8.    (任意) copy running-config startup-config


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        switch# configure terminal
        switch(config)#
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 {ip | ipv6} access-list name

        例:
        switch(config)# ip access-list vtyacl
         

        ACL を作成し、その ACL の IP アクセス リスト コンフィギュレーション モードを開始します。 name 引数の最大長は 64 文字です。

         
        ステップ 3 {permit | deny} protocol source destination [log] [time-range time]

        例:
        switch(config-ip-acl)# permit tcp any any
        
         

        ACL ルールを作成し、指定した送信元とのすべての TCP トラフィックを許可します。

         
        ステップ 4 exit


        例:
        switch(config-ip-acl)# exit
        switch(config)#
         

        IP アクセス リスト コンフィギュレーション モードを終了します。

         
        ステップ 5 line vty


        例:
        switch(config)# line vty
        switch(config-line)#
         

        仮想端末を指定し、ライン コンフィギュレーション モードを開始します。

         
        ステップ 6 {ip | ipv6} access-class name {in | out}

        例:
        switch(config-line)# ip access-class vtyacl out
        
         

        指定された ACL を使用してすべての VTY 回線に対する着信および発信接続を制限します。 name 引数の最大長は 64 文字です。

         
        ステップ 7 show {ip | ipv6} access-lists


        例:
        switch# show ip access-lists
         
        (任意)

        任意の VTY ACL を含め、設定された ACL を表示します。

         
        ステップ 8 copy running-config startup-config


        例:
        switch# copy running-config startup-config
         
        (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        IP ACL 内のシーケンス番号の変更

        IP ACL 内のルールに付けられたすべてのシーケンス番号を変更できます。

        はじめる前に

        ACL の設定には Session Manager を使用することを推奨します。 この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。 この機能は、約 1,000 以上のルールが含まれている ACL に対して特に有効です。 Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

        手順の概要

          1.    configure terminal

          2.    resequence {ip | ipv6} access-list name starting-sequence-number increment

          3.    (任意) show ip access-lists name

          4.    (任意) copy running-config startup-config


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          switch# configure terminal
          switch(config)#
          
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 resequence {ip | ipv6} access-list name starting-sequence-number increment


          例:
          switch(config)# resequence access-list ip acl-01 100 10
          
           

          ACL 内に記述されているルールにシーケンス番号を付けます。指定した開始シーケンス番号が最初のルールに付けられます。 後続の各ルールには、直前のルールよりも大きい番号が付けられます。 番号の間隔は、指定した増分によって決まります。 starting-sequence-number 引数と increment 引数は、1 ~ 4294967295 の整数で指定します。

           
          ステップ 3 show ip access-lists name


          例:
          switch(config)# show ip access-lists acl-01
          
           
          (任意)

          IP ACL の設定を表示します。

           
          ステップ 4 copy running-config startup-config


          例:
          switch(config)# copy running-config startup-config
          
           
          (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           

          IP ACL の削除

          IP ACL をデバイスから削除できます。

          はじめる前に

          その ACL がインターフェイスに適用されているかどうかを確認します。 削除できるのは、現在適用されている ACL です。 ACL を削除しても、その ACL が適用されていたインターフェイスの設定は影響を受けません。 デバイスは削除された ACL を空であると見なします。 IP ACL が設定されているインターフェイスを探すには、show ip access-lists コマンドまたは show ipv6 access-lists コマンドと一緒に summary キーワードを使用します。

          手順の概要

            1.    configure terminal

            2.    次のいずれかのコマンドを入力します。

            • no ip access-list name
            • no ipv6 access-list name

            3.    (任意) 次のいずれかのコマンドを入力します。

            • show ip access-lists name summary
            • show ipv6 access-lists name summary

            4.    (任意) copy running-config startup-config


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 configure terminal


            例:
            switch# configure terminal
            switch(config)#
            
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2 次のいずれかのコマンドを入力します。
            • no ip access-list name
            • no ipv6 access-list name


            例:
            switch(config)# no ip access-list acl-01
            
             

            名前で指定した IP ACL を実行コンフィギュレーションから削除します。

             
            ステップ 3次のいずれかのコマンドを入力します。
            • show ip access-lists name summary
            • show ipv6 access-lists name summary


            例:
            switch(config)# show ip access-lists acl-01 summary
            
             
            (任意)

            IP ACL の設定を表示します。 ACL がインターフェイスに引き続き適用されている場合は、インターフェイスが表示されます。

             
            ステップ 4 copy running-config startup-config


            例:
            switch(config)# copy running-config startup-config
            
             
            (任意)

            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

             

            ルータ ACL としての IP ACL の適用

            IPv4 ACL または IPv6 ACL は、次のタイプのインターフェイスに適用できます。

            • 物理レイヤ 3 インターフェイスおよびサブインターフェイス

            • レイヤ 3 イーサネット ポート チャネル インターフェイスおよびサブインターフェイス

            • VLAN インターフェイス

            • トンネル

            • 管理インターフェイス

            これらのインターフェイス タイプに適用された ACL はルータ ACL と見なされます。

            はじめる前に

            適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。

            手順の概要

              1.    switch# configure terminal

              2.    次のいずれかのコマンドを入力します。

              • switch(config)# interface ethernet slot/port[. number]
              • switch(config)# interface port-channel channel-number[. number]
              • switch(config)# interface tunnel tunnel-number
              • switch(config)# interface vlan vlan-ID
              • switch(config)# interface mgmt port

              3.    次のいずれかのコマンドを入力します。

              • switch(config-if)# ip access-group access-list {in | out}
              • switch(config-if)# ipv6 traffic-filter access-list {in | out}

              4.    (任意) switch(config-if)# show running-config aclmgr

              5.    (任意) switch(config-if)# copy running-config startup-config


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1switch# configure terminal 

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2次のいずれかのコマンドを入力します。
              • switch(config)# interface ethernet slot/port[. number]
              • switch(config)# interface port-channel channel-number[. number]
              • switch(config)# interface tunnel tunnel-number
              • switch(config)# interface vlan vlan-ID
              • switch(config)# interface mgmt port
               

              指定したインターフェイス タイプのコンフィギュレーション モードを開始します。

               
              ステップ 3 次のいずれかのコマンドを入力します。
              • switch(config-if)# ip access-group access-list {in | out}
              • switch(config-if)# ipv6 traffic-filter access-list {in | out}
               

              IPv4 ACL または IPv6 ACL を、指定方向のトラフィックのレイヤ 3 インターフェイスに適用します。 各方向にルータ ACL を 1 つ適用できます。

               
              ステップ 4switch(config-if)# show running-config aclmgr   (任意)

              ACL の設定を表示します。

               
              ステップ 5switch(config-if)# copy running-config startup-config   (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

               
              関連タスク

              IP ACL のポート ACL としての適用

              IPv4 または IPv6 ACL は、レイヤ 2 インターフェイス(物理ポートまたはポート チャネル)に適用できます。 これらのインターフェイス タイプに適用された ACL は、ポート ACL と見なされます。

              はじめる前に

              適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。


              (注)  


              インターフェイスを mac packet-classify で設定する場合は、mac packet-classify コマンドをインターフェイス設定から削除するまで、IP ポート ACL をインターフェイスに適用できません。


              手順の概要

                1.    configure terminal

                2.    次のいずれかのコマンドを入力します。

                • interface ethernet slot/port
                • interface port-channel channel-number

                3.    次のいずれかのコマンドを入力します。

                • ip port access-group access-list in
                • ipv6 port traffic-filter access-list in

                4.    (任意) show running-config aclmgr

                5.    (任意) copy running-config startup-config


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 configure terminal


                例:
                switch# configure terminal
                switch(config)#
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2 次のいずれかのコマンドを入力します。
                • interface ethernet slot/port
                • interface port-channel channel-number


                例:
                switch(config)# interface ethernet 2/3
                switch(config-if)#
                 

                指定したインターフェイス タイプのコンフィギュレーション モードを開始します。

                 
                ステップ 3 次のいずれかのコマンドを入力します。
                • ip port access-group access-list in
                • ipv6 port traffic-filter access-list in


                例:
                switch(config-if)# ip port access-group acl-l2-marketing-group in
                 

                IPv4 または IPv6 ACL をインターフェイスまたはポートチャネルに適用します。 ポート ACL では、インバウンド フィルタリングだけがサポートされています。 1 つのインターフェイスに 1 つのポート ACL を適用できます。

                 
                ステップ 4 show running-config aclmgr


                例:
                switch(config-if)# show running-config aclmgr
                 
                (任意)

                ACL の設定を表示します。

                 
                ステップ 5 copy running-config startup-config


                例:
                switch(config-if)# copy running-config startup-config
                 
                (任意)

                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                 

                IP ACL の VACL としての適用

                IP ACL は VACL として適用できます。

                関連コンセプト

                ACL TCAM バンク マッピングの設定

                ACL TCAM バンクのマッピングを許可するように、デバイスを設定できます。 この機能により、TCAM バンクがより予測可能な方法で機能の組み合わせに対応できるようになります。

                はじめる前に

                デフォルトの VDC に属することを確認します(または switchto コマンドを使用します)。

                手順の概要

                  1.    configure terminal

                  2.    [no] hardware access-list resource feature bank-mapping

                  3.    (任意) show system internal access-list feature bank-class map {ingress | egress} [module module]

                  4.    copy running-config startup-config


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 configure terminal


                  例:
                  switch# configure terminal
                  switch(config)#
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2 [no] hardware access-list resource feature bank-mapping


                  例:
                  switch(config)# hardware access-list resource feature bank-mapping
                   

                  機能グループまたは機能クラスに対する ACL TCAM バンクのマッピングをイネーブルにします。

                  (注)     

                  このコマンドはデフォルトの VDC でのみ使用できますが、すべての VDC に適用されます。

                   
                  ステップ 3 show system internal access-list feature bank-class map {ingress | egress} [module module]


                  例:
                  switch(config)# show system internal access-list feature bank-class map ingress module 4
                  
                  Feature Class Definition:
                  0. CLASS_QOS :
                  QoS,
                  1. CLASS_INBAND :
                  Tunnel Decap, SPM LISP, SPM ERSPAN (termination),
                  2. CLASS_PACL :
                  PACL, Netflow,
                  3. CLASS_DHCP :
                  DHCP, Netflow, ARP, VACL,
                  4. CLASS_RACL :
                  RACL, RACL_STAT, Netflow (SVI), ARP,
                  5. CLASS_VACL :
                  VACL, VACL_STAT, ARP, FEX, Netflow,
                  6. CLASS_RV_ACL :
                  RACL, PBR, BFD, ARP, SPM WCCP, VACL, SPM OTV, FEX, CTS implicit Tunnel
                   
                  (任意)

                  機能グループとクラスの組み合わせの表を表示します。

                   
                  ステップ 4 copy running-config startup-config


                  例:
                  switch# copy running-config startup-config
                   

                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                   

                  ACL キャプチャのイネーブル化またはディセーブル化

                  Cisco NX-OS Release 5.2 以降では、デフォルト VDC の ACL キャプチャをイネーブルまたはディセーブルにできます。

                  はじめる前に

                  デフォルト VDC にいることを確認します。

                  手順の概要

                    1.    configure terminal

                    2.    [no] hardware access-list capture

                    3.    (任意) show hardware access-list status module slot

                    4.    (任意) copy running-config startup-config


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 configure terminal


                    例:
                    switch# configure terminal
                    switch(config)#
                    
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2 [no] hardware access-list capture


                    例:
                    switch(config)# hardware access-list capture
                    
                     

                    すべての VDC の ACL キャプチャをイネーブルまたはディセーブルにします。

                    (注)     

                    ACL キャプチャをイネーブルにすると、警告メッセージが表示され、ACL ロギングが全 VDC に対して無効になっていることを通知します。 ACL キャプチャをディセーブルにすると、ACL ロギングはイネーブルになります。

                     
                    ステップ 3 show hardware access-list status module slot


                    例:
                    switch(config)# show hardware access-list status module 2
                    
                     
                    (任意)

                    ACL キャプチャの設定を表示します。

                     
                    ステップ 4 copy running-config startup-config


                    例:
                    switch(config)# copy running-config startup-config
                    
                     
                    (任意)

                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                     
                    関連コンセプト

                    ACL キャプチャ セッションの設定

                    Cisco NX-OS Release 5.2 以降では、ACL キャプチャ セッションを設定できます。

                    はじめる前に

                    正しい VDC を使用していることを確認します(または switchto vdc コマンドを使用します)。

                    手順の概要

                      1.    configure terminal

                      2.    monitor session session type acl-capture

                      3.    destination interface interface slot/port

                      4.    no shut

                      5.    exit

                      6.    (任意) show ip access-lists capture session session

                      7.    (任意) copy running-config startup-config


                    手順の詳細
                       コマンドまたはアクション目的
                      ステップ 1 configure terminal


                      例:
                      switch# configure terminal
                      switch(config)#
                       

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 2 monitor session session type acl-capture


                      例:
                      switch(config)# monitor session 2 type acl-capture
                      switch(config-acl-capture)#
                       

                      ACL キャプチャ セッションを設定します。 session 引数の範囲は 1 ~ 48 です。

                       
                      ステップ 3 destination interface interface slot/port


                      例:
                      switch(config-acl-capture)# destination interface ethernet 2/2
                      switch#
                       

                      ACL キャプチャ パケットの宛先を設定します。

                      (注)     

                      物理インターフェイスだけが宛先に使用できます。 ポートチャネル インターフェイス、およびスーパーバイザ インバンド ポートはサポートされません。

                      (注)     

                      このコマンドを複数回入力して、複数の宛先を追加することができます。

                       
                      ステップ 4 no shut


                      例:
                      switch(config-acl-capture)# no shut
                       

                      ACL キャプチャ セッションを管理的にアップします。

                      (注)     

                      セッションは、ACL キャプチャがデフォルト VDC でイネーブルになったことをモニタが確認した後にのみ、アップ状態になります。

                       
                      ステップ 5 exit


                      例:
                      switch(config-acl-capture)# exit
                      switch(config)#
                       

                      モニタ設定を更新し、ACL キャプチャ コンフィギュレーション モードを終了します。

                       
                      ステップ 6 show ip access-lists capture session session


                      例:
                      switch(config)# show ip access-lists capture session 2
                       
                      (任意)

                      ACL のキャプチャ セッションの設定を表示します。

                       
                      ステップ 7 copy running-config startup-config


                      例:
                      switch# copy running-config startup-config
                       
                      (任意)

                      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                       

                      キャプチャ セッション ACE を使用した ACL のインターフェイスへの適用

                      ACL のアクセス コントロール エントリ(ACE)のキャプチャ セッションをイネーブルにし、インターフェイスに ACL を適用できます。

                      はじめる前に 正しい VDC を使用していることを確認します(または switchto vdc コマンドを使用します)。
                      手順の概要

                        1.    configure terminal

                        2.    ip access-list name

                        3.    permit protocol source destination capture session session

                        4.    exit

                        5.    interface interface slot/port

                        6.    ip access-group name in

                        7.    no shut

                        8.    (任意) show running-config aclmgr

                        9.    (任意) copy running-config startup-config


                      手順の詳細
                         コマンドまたはアクション目的
                        ステップ 1 configure terminal


                        例:
                        switch# configure terminal
                        switch(config)#
                         

                        グローバル コンフィギュレーション モードを開始します。

                         
                        ステップ 2 ip access-list name


                        例:
                        switch(config)# ip access-list acl1
                        switch(config-acl)#
                         

                        アクセス リストを作成します。

                         
                        ステップ 3 permit protocol source destination capture session session


                        例:
                        switch(config-acl)# permit tcp any any capture session 2
                        
                         

                        ACL の ACE に対するキャプチャ セッションをイネーブルにします。 session 引数の範囲は 1 ~ 16 です。

                         
                        ステップ 4 exit


                        例:
                        switch(config-acl)# exit
                        switch(config)#
                         

                        アクセス リスト コンフィギュレーション モードを終了します。

                         
                        ステップ 5 interface interface slot/port


                        例:
                        switch(config)# interface ethernet 7/1
                        switch(config-if)#
                         

                        ポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

                         
                        ステップ 6 ip access-group name in


                        例:
                        switch(config-if)# ip access-group acl1 in
                        
                         

                        インターフェイスにキャプチャ セッション ACE を使用した ACL を適用します。

                         
                        ステップ 7 no shut


                        例:
                        switch(config-if)# no shut
                        
                         

                        インターフェイスを管理的にアップします。

                         
                        ステップ 8 show running-config aclmgr


                        例:
                        switch(config-if)# show running-config aclmgr
                         
                        (任意)

                        ACL の設定および ACL が適用されたインターフェイスを表示します。

                         
                        ステップ 9 copy running-config startup-config


                        例:
                        switch(config-if)# copy running-config startup-config
                         
                        (任意)

                        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                         

                        すべての ACL キャプチャ セッションのインターフェイスへの適用

                        全 ACL のキャプチャ セッションをイネーブルにし、インターフェイスに ACL を適用できます。

                        はじめる前に 正しい VDC を使用していることを確認します(または switchto vdc コマンドを使用します)。
                        手順の概要

                          1.    configure terminal

                          2.    ip access-list name

                          3.    capture session session

                          4.    exit

                          5.    interface interface slot/port

                          6.    ip access-group name in

                          7.    no shut

                          8.    (任意) show running-config aclmgr

                          9.    (任意) copy running-config startup-config


                        手順の詳細
                           コマンドまたはアクション目的
                          ステップ 1 configure terminal


                          例:
                          switch# configure terminal
                          switch(config)#
                           

                          グローバル コンフィギュレーション モードを開始します。

                           
                          ステップ 2 ip access-list name


                          例:
                          switch(config)# ip access-list acl1
                          switch(config-acl)#
                           

                          アクセス リストを作成します。

                           
                          ステップ 3 capture session session


                          例:
                          switch(config-acl)# capture session 2
                          
                           

                          全 ACL のキャプチャ セッションをイネーブルにします。 session 引数の範囲は 1 ~ 16 です。

                           
                          ステップ 4 exit


                          例:
                          switch(config-acl)# exit
                          switch(config)#
                           

                          アクセス リスト コンフィギュレーション モードを終了します。

                           
                          ステップ 5 interface interface slot/port


                          例:
                          switch(config)# interface ethernet 7/1
                          switch(config-if)#
                           

                          ポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

                           
                          ステップ 6 ip access-group name in


                          例:
                          switch(config-if)# ip access-group acl1 in
                          
                           

                          インターフェイスにキャプチャ セッション設定を使用した ACL を適用します。

                           
                          ステップ 7 no shut


                          例:
                          switch(config-if)# no shut
                          
                           

                          インターフェイスを管理的にアップします。

                           
                          ステップ 8 show running-config aclmgr


                          例:
                          switch(config-if)# show running-config aclmgr
                           
                          (任意)

                          ACL の設定および ACL が適用されたインターフェイスを表示します。

                           
                          ステップ 9 copy running-config startup-config


                          例:
                          switch(config-if)# copy running-config startup-config
                           
                          (任意)

                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                           

                          IP ACL の設定の確認

                          IP ACL の設定情報を表示するには、次のいずれかの作業を行います。 これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

                          コマンド

                          目的

                          show hardware access-list status module slot

                          ACL キャプチャの設定を表示します。

                          show ip access-lists [capture session session]

                          IPv4 ACL の設定を表示します。

                          show ipv6 access-lists [capture session session]

                          IPv6 ACL の設定を表示します。

                          show system internal access-list feature bank-class map {ingress | egress} [module module]

                          機能グループとクラスの組み合わせの表を表示します。

                          show running-config aclmgr [all]

                          IP ACL の設定および IP ACL が適用されるインターフェイスを含めて、ACL の実行コンフィギュレーションを表示します。

                          (注)     

                          Cisco NX-OS Release 5.2 以降では、このコマンドは、実行コンフィギュレーションのユーザ定義 ACL を表示します。 all オプションを使用すると、実行コンフィギュレーションのデフォルト(CoPP 設定)とユーザ定義による ACL の両方が表示されます。

                          show startup-config aclmgr [all]

                          ACL のスタートアップ コンフィギュレーションを表示します。

                          (注)     

                          Cisco NX-OS Release 5.2 以降では、このコマンドは、スタートアップ コンフィギュレーションのユーザ定義 ACL を表示します。 all オプションを使用すると、スタートアップ コンフィギュレーションのデフォルト(CoPP 設定)とユーザ定義による ACL の両方が表示されます。

                          IP ACL の統計情報のモニタリングとクリア

                          IP ACL の統計情報のモニタまたはクリアを行うには、次の表に示すコマンドのいずれかを使用します。 これらのコマンドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

                          コマンド

                          目的

                          show ip access-lists

                          IPv4 ACL の設定を表示します。 IPv4 ACL に statistics per-entry コマンドが含まれている場合は、show ip access-lists コマンドの出力に、各ルールと一致したパケットの数が含まれます。

                          show ipv6 access-lists

                          IPv6 ACL の設定を表示します。 IPv6 ACL に statistics per-entry コマンドが含まれている場合は、show ipv6 access-lists コマンドの出力に、各ルールと一致したパケットの数が含められます。

                          clear ip access-list counters

                          すべての IPv4 ACL または特定の IPv4 ACL の統計情報をクリアします。

                          clear ipv6 access-list counters

                          すべての IPv6 ACL または特定の IPv6 ACL の統計情報をクリアします。

                          IP ACL の設定例

                          acl-01 という名前の IPv4 ACL を作成し、これをポート ACL としてイーサネット インターフェイス 2/1(レイヤ 2 インターフェイス)に適用する例を示します。

                          ip access-list acl-01
                            permit ip 192.168.2.0/24 any 
                          interface ethernet 2/1
                            ip port access-group acl-01 in
                          
                          

                          acl-120 という名前の IPv6 ACL を作成し、これをルータ ACL としてイーサネット インターフェイス 2/3(レイヤ 3 インターフェイス)に適用する例を示します。

                          ipv6 access-list acl-120
                            permit tcp 2001:0db8:85a3::/48 2001:0db8:be03:2112::/64
                            permit udp 2001:0db8:85a3::/48 2001:0db8:be03:2112::/64
                            permit tcp 2001:0db8:69f2::/48 2001:0db8:be03:2112::/64
                            permit udp 2001:0db8:69f2::/48 2001:0db8:be03:2112::/64 
                          interface ethernet 2/3
                            ipv6 traffic-filter acl-120 in
                          
                          

                          次に、single-source という名前の VTY ACL を作成し、それを VTY 回線上の入力 IP トラフィックに対して適用する例を示します。 この ACL は、通過するすべての TCP トラフィックを許可し、その他のすべての IP トラフィックをドロップします。

                          ip access-list single-source
                          		permit tcp 192.168.7.5/24 any
                          		exit
                          		line vty
                          		ip access-class single-source in
                          		show ip access-lists
                          
                          

                          次に、デフォルト VDC で ACL キャプチャをイネーブルにして、ACL キャプチャ パケットの宛先を設定する例を示します。

                          hardware access-list capture
                          		monitor session 1 type acl-capture
                          		destination interface ethernet 2/1
                          		no shut
                          		exit
                          		show ip access-lists capture session 1
                          
                          

                          次に、ACL のアクセス コントロール エントリ(ACE)のキャプチャ セッションをイネーブルにしてから、その ACL をインターフェイスに適用する例を示します。

                          ip access-list acl1
                          		permit tcp any any capture session 1
                          		exit
                          		interface ethernet 1/11
                          		ip access-group acl1 in
                          		no shut
                          		show running-config aclmgr
                          
                          

                          次に、キャプチャ セッションのアクセス コントロール エントリ(ACE)を含む ACL を VLAN に適用する例を示します。

                          vlan access-map acl-vlan-first
                          		match ip address acl-ipv4-first
                          		match mac address acl-mac-first
                          		action foward
                          		statistics per-entry
                          		vlan filter acl-vlan-first vlan-list 1
                          		show running-config vlan 1
                          
                          

                          次に、ACL 全体のキャプチャ セッションをイネーブルにしてから、その ACL をインターフェイスに適用する例を示します。

                          ip access-list acl2
                          		capture session 2
                          		exit
                          		interface ethernet 7/1
                          		ip access-group acl1 in
                          		no shut
                          		show running-config aclmgr
                          

                          オブジェクト グループの設定

                          IPv4 ACL および IPv6 ACL のルールに送信元と宛先のアドレスおよびプロトコル ポートを指定する際に、オブジェクト グループを使用できます。

                          オブジェクト グループに対する Session Manager のサポート

                          Session Manager はオブジェクト グループの設定をサポートしています。 この機能を使用すると、設定セッションを作成し、オブジェクト グループの設定変更を実行コンフィギュレーションにコミットする前に確認できます。 Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

                          IPv4 アドレス オブジェクト グループの作成および変更

                          IPv4 アドレス グループ オブジェクトの作成および変更を実行できます。

                          手順の概要

                            1.    configure terminal

                            2.    object-group ip address name

                            3.    次のいずれかのコマンドを入力します。

                            • [sequence-number] host IPv4-address
                            • [sequence-number] IPv4-address network-wildcard
                            • [sequence-number] IPv4-address/prefix-len

                            4.    次のいずれかのコマンドを入力します。

                            • no [sequence-number ]
                            • no host IPv4-address
                            • no IPv4-address network-wildcard
                            • no IPv4-address/prefix-len

                            5.    (任意) show object-group name

                            6.    (任意) copy running-config startup-config


                          手順の詳細
                             コマンドまたはアクション目的
                            ステップ 1 configure terminal


                            例:
                            switch# configure terminal
                            switch(config)#
                             

                            グローバル コンフィギュレーション モードを開始します。

                             
                            ステップ 2 object-group ip address name


                            例:
                            switch(config)# object-group ip address ipv4-addr-group-13
                            switch(config-ipaddr-ogroup)#
                             

                            IPv4 アドレス オブジェクト グループを作成し、IPv4 アドレス オブジェクト グループ コンフィギュレーション モードを開始します。

                             
                            ステップ 3次のいずれかのコマンドを入力します。
                            • [sequence-number] host IPv4-address
                            • [sequence-number] IPv4-address network-wildcard
                            • [sequence-number] IPv4-address/prefix-len


                            例:
                            switch(config-ipaddr-ogroup)# host 10.99.32.6
                             

                            オブジェクト グループのエントリを作成します。 作成するエントリごとに、host コマンドを使用して単一のホストを指定するか、または host コマンドを省略してホストのネットワークを指定します。

                             
                            ステップ 4 次のいずれかのコマンドを入力します。
                            • no [sequence-number ]
                            • no host IPv4-address
                            • no IPv4-address network-wildcard
                            • no IPv4-address/prefix-len


                            例:
                            switch(config-ipaddr-ogroup)# no host 10.99.32.6
                             

                            オブジェクト グループのエントリを削除します。 オブジェクト グループから削除するエントリごとに、no 形式の host コマンドを使用します。

                             
                            ステップ 5 show object-group name


                            例:
                            switch(config-ipaddr-ogroup)# show object-group ipv4-addr-group-13
                             
                            (任意)

                            オブジェクト グループの設定を表示します。

                             
                            ステップ 6 copy running-config startup-config


                            例:
                            switch(config-ipaddr-ogroup)# copy running-config startup-config
                             
                            (任意)

                            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                             

                            IPv6 アドレス オブジェクト グループの作成および変更

                            IPv6 アドレス グループ オブジェクトの作成および変更を実行できます。

                            手順の概要

                              1.    config t

                              2.    object-group ipv6 address name

                              3.    次のいずれかのコマンドを入力します。

                              • [sequence-number] host IPv6-address
                              • [sequence-number] IPv6-address/prefix-len

                              4.    次のいずれかのコマンドを入力します。

                              • no sequence-number
                              • no host IPv6-address
                              • no IPv6-address/prefix-len

                              5.    (任意) show object-group name

                              6.    (任意) copy running-config startup-config


                            手順の詳細
                               コマンドまたはアクション目的
                              ステップ 1 config t


                              例:
                              switch# config t
                              switch(config)#
                               

                              グローバル コンフィギュレーション モードを開始します。

                               
                              ステップ 2 object-group ipv6 address name


                              例:
                              switch(config)# object-group ipv6 address ipv6-addr-group-A7
                              switch(config-ipv6addr-ogroup)#
                               

                              IPv6 アドレス オブジェクト グループを作成し、IPv6 アドレス オブジェクト グループ コンフィギュレーション モードを開始します。

                               
                              ステップ 3 次のいずれかのコマンドを入力します。
                              • [sequence-number] host IPv6-address
                              • [sequence-number] IPv6-address/prefix-len


                              例:
                              switch(config-ipv6addr-ogroup)# host 2001:db8:0:3ab0::1
                               

                              オブジェクト グループのエントリを作成します。 作成するエントリごとに、host コマンドを使用して単一のホストを指定するか、または host コマンドを省略してホストのネットワークを指定します。

                               
                              ステップ 4 次のいずれかのコマンドを入力します。
                              • no sequence-number
                              • no host IPv6-address
                              • no IPv6-address/prefix-len


                              例:
                              switch(config-ipv6addr-ogroup)# no host 2001:db8:0:3ab0::1
                               

                              オブジェクト グループからエントリを削除します。 オブジェクト グループから削除するエントリごとに、no 形式の host コマンドを使用します。

                               
                              ステップ 5 show object-group name


                              例:
                              switch(config-ipv6addr-ogroup)# show object-group ipv6-addr-group-A7
                               
                              (任意)

                              オブジェクト グループの設定を表示します。

                               
                              ステップ 6 copy running-config startup-config


                              例:
                              switch(config-ipv6addr-ogroup)# copy running-config startup-config
                               
                              (任意)

                              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                               

                              プロトコル ポート オブジェクト グループの作成および変更

                              プロトコル ポート オブジェクト グループの作成および変更を実行できます。

                              手順の概要

                                1.    configure terminal

                                2.    object-group ip port name

                                3.    [sequence-number] operator port-number [port-number]

                                4.    no {sequence-number | operator port-number [port-number]}

                                5.    (任意) show object-group name

                                6.    (任意) copy running-config startup-config


                              手順の詳細
                                 コマンドまたはアクション目的
                                ステップ 1 configure terminal


                                例:
                                switch# configure terminal
                                switch(config)#
                                
                                 

                                グローバル コンフィギュレーション モードを開始します。

                                 
                                ステップ 2 object-group ip port name


                                例:
                                switch(config)# object-group ip port NYC-datacenter-ports
                                switch(config-port-ogroup)#
                                
                                 

                                プロトコル ポート オブジェクト グループを作成し、ポート オブジェクト グループ コンフィギュレーション モードを開始します。

                                 
                                ステップ 3 [sequence-number] operator port-number [port-number]


                                例:
                                switch(config-port-ogroup)# eq 80
                                
                                 

                                オブジェクト グループのエントリを作成します。 作成するエントリごとに、次の演算子コマンドを 1 つ使用します。

                                • eq:指定したポート番号だけに一致します。

                                • gt:指定したポート番号より大きい(等しいものは含まない)ポート番号に一致します。

                                • lt:指定したポート番号より小さい(等しいものは含まない)ポート番号に一致します。

                                • neq:指定したポート番号以外のすべてのポート番号に一致します。

                                • range:指定した 2 つのポート番号と、その間の範囲のポート番号に一致します。

                                (注)     

                                range コマンドだけは、2 つの port-number 引数を必要とします。

                                 
                                ステップ 4 no {sequence-number | operator port-number [port-number]}


                                例:
                                switch(config-port-ogroup)# no eq 80
                                
                                 

                                オブジェクト グループからエントリを削除します。 削除するエントリごとに、該当する演算子コマンドを no 形式で使用します。

                                 
                                ステップ 5 show object-group name


                                例:
                                switch(config-port-ogroup)# show object-group NYC-datacenter-ports
                                
                                 
                                (任意)

                                オブジェクト グループの設定を表示します。

                                 
                                ステップ 6 copy running-config startup-config


                                例:
                                switch(config-port-ogroup)# copy running-config startup-config
                                
                                 
                                (任意)

                                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                 

                                オブジェクト グループの削除

                                IPv4 アドレス オブジェクト グループ、IPv6 アドレス オブジェクト グループ、またはプロトコル ポート オブジェクト グループを削除できます。

                                手順の概要

                                  1.    configure terminal

                                  2.    no object-group {ip address | ipv6 address | ip port} name

                                  3.    (任意) show object-group

                                  4.    (任意) copy running-config startup-config


                                手順の詳細
                                   コマンドまたはアクション目的
                                  ステップ 1 configure terminal


                                  例:
                                  switch# configure terminal
                                  switch(config)#
                                   

                                  グローバル コンフィギュレーション モードを開始します。

                                   
                                  ステップ 2 no object-group {ip address | ipv6 address | ip port} name


                                  例:
                                  switch(config)# no object-group ip address ipv4-addr-group-A7
                                   

                                  指定したオブジェクト グループを削除します。

                                   
                                  ステップ 3 show object-group


                                  例:
                                  switch(config)# show object-group
                                   
                                  (任意)

                                  すべてのオブジェクト グループを表示します。 削除されたオブジェクト グループは表示されません。

                                   
                                  ステップ 4 copy running-config startup-config


                                  例:
                                  switch(config)# copy running-config startup-config
                                   
                                  (任意)

                                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                   

                                  オブジェクト グループの設定の確認

                                  オブジェクト グループの設定情報を表示するには、次の作業のいずれかを行います。

                                  コマンド

                                  目的

                                  show object-group

                                  オブジェクト グループの設定を表示します。

                                  show running-config aclmgr

                                  オブジェクト グループを含めて、ACL の設定を表示します。

                                  これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

                                  時間範囲の設定

                                  時間範囲に対する Session Manager のサポート

                                  Session Manager は時間範囲の設定をサポートしています。 この機能を使用すると、設定セッションを作成し、時間範囲の設定変更を実行コンフィギュレーションにコミットする前に確認できます。 Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

                                  時間範囲の作成

                                  デバイス上で時間範囲を作成し、これにルールを追加できます。

                                  はじめる前に

                                  正しい VDC を使用していることを確認します(または switchto vdc コマンドを使用します)。 異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。

                                  手順の概要

                                    1.    configure terminal

                                    2.    time-range name

                                    3.    (任意) [sequence-number] periodic weekday time to [weekday] time

                                    4.    (任意) [sequence-number] periodic list-of-weekdays time to time

                                    5.    (任意) [sequence-number] absolute start time date [end time date]

                                    6.    (任意) [sequence-number] absolute [start time date] end time date

                                    7.    (任意) show time-range name

                                    8.    (任意) copy running-config startup-config


                                  手順の詳細
                                     コマンドまたはアクション目的
                                    ステップ 1 configure terminal


                                    例:
                                    switch# configure terminal
                                    switch(config)#
                                    
                                     

                                    グローバル コンフィギュレーション モードを開始します。

                                     
                                    ステップ 2 time-range name


                                    例:
                                    switch(config)# time-range workday-daytime
                                    switch(config-time-range)#
                                    
                                     

                                    時間範囲を作成し、時間範囲コンフィギュレーション モードを開始します。

                                     
                                    ステップ 3 [sequence-number] periodic weekday time to [weekday] time


                                    例:
                                    switch(config-time-range)# periodic monday 00:00:00 to friday 23:59:59
                                    
                                     
                                    (任意)

                                    指定開始日時と終了日時の間(両端を含める)の 1 日以上の連続した曜日だけ有効になるような定期ルールを作成します。

                                     
                                    ステップ 4 [sequence-number] periodic list-of-weekdays time to time


                                    例:
                                    switch(config-time-range)# periodic weekdays 06:00:00 to 20:00:00
                                    
                                     
                                    (任意)

                                    list-of-weekdays 引数で指定された曜日の指定開始時刻と終了時刻の間(両端を含む)だけ有効になるような定期ルールを作成します。 list-of-weekdays 引数の値には次のキーワードも使用できます。

                                    • daily:すべての曜日

                                    • weekdays:月曜から金曜まで(Monday ~ Friday)

                                    • weekend:土曜と日曜(Saturday ~ Sunday)

                                     
                                    ステップ 5 [sequence-number] absolute start time date [end time date]


                                    例:
                                    switch(config-time-range)# absolute start 1:00 15 march 2008
                                     
                                    (任意)

                                    start キーワードの後ろに指定した日時から有効になる絶対ルールを作成します。 end キーワードを省略すると、そのルールは開始日時を過ぎると常に有効になります。

                                     
                                    ステップ 6 [sequence-number] absolute [start time date] end time date


                                    例:
                                    switch(config-time-range)# absolute end 23:59:59 31 december 2008
                                     
                                    (任意)

                                    end キーワードの後ろに指定した日時まで有効になる絶対ルールを作成します。 start キーワードを省略すると、そのルールは終了日時を過ぎるまで常に有効です。

                                     
                                    ステップ 7 show time-range name


                                    例:
                                    switch(config-time-range)# show time-range workday-daytime
                                     
                                    (任意)

                                    時間範囲の設定を表示します。

                                     
                                    ステップ 8 copy running-config startup-config


                                    例:
                                    switch(config-time-range)# copy running-config startup-config
                                     
                                    (任意)

                                    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                     

                                    時間範囲の変更

                                    既存の時間範囲のルールの追加および削除を実行できます。 既存のルールは変更できません。 ルールを変更するには、そのルールを削除してから、変更を加えたルールを再作成します。

                                    既存のルールの間に新しいルールを挿入する必要がある場合で、現在のシーケンス番号の空き状況ではすべてを挿入できないときは、resequence コマンドを使用してシーケンス番号を再割り当てします。

                                    はじめる前に

                                    正しい VDC を使用していることを確認します(または switchto vdc コマンドを使用します)。 異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。

                                    手順の概要

                                      1.    configure terminal

                                      2.    time-range name

                                      3.    (任意) [sequence-number] periodic weekday time to [weekday] time

                                      4.    (任意) [sequence-number] periodic list-of-weekdays time to time

                                      5.    (任意) [sequence-number] absolute start time date [end time date]

                                      6.    (任意) [sequence-number] absolute [start time date] end time date

                                      7.    (任意) no {sequence-number | periodic arguments . . . | absolute arguments. . .}

                                      8.    (任意) show time-range name

                                      9.    (任意) copy running-config startup-config


                                    手順の詳細
                                       コマンドまたはアクション目的
                                      ステップ 1 configure terminal


                                      例:
                                      switch# configure terminal
                                      switch(config)#
                                       

                                      グローバル コンフィギュレーション モードを開始します。

                                       
                                      ステップ 2 time-range name


                                      例:
                                      switch(config)# time-range workday-daytime
                                      switch(config-time-range)#
                                       

                                      特定の時間範囲の時間範囲コンフィギュレーション モードを開始します。

                                       
                                      ステップ 3 [sequence-number] periodic weekday time to [weekday] time


                                      例:
                                      switch(config-time-range)# periodic monday 00:00:00 to friday 23:59:59
                                       
                                      (任意)

                                      指定開始日時と終了日時の間(両端を含める)の 1 日以上の連続した曜日だけ有効になるような定期ルールを作成します。

                                       
                                      ステップ 4 [sequence-number] periodic list-of-weekdays time to time


                                      例:
                                      switch(config-time-range)# 100 periodic weekdays 05:00:00 to 22:00:00
                                       
                                      (任意)

                                      list-of-weekdays 引数で指定された曜日の指定開始時刻と終了時刻の間(両端を含む)だけ有効になるような定期ルールを作成します。 list-of-weekdays 引数の値には次のキーワードも使用できます。

                                      • daily:すべての曜日

                                      • weekdays:月曜から金曜まで(Monday ~ Friday)

                                      • weekend:土曜と日曜(Saturday ~ Sunday)

                                       
                                      ステップ 5 [sequence-number] absolute start time date [end time date]


                                      例:
                                      switch(config-time-range)# absolute start 1:00 15 march 2008
                                       
                                      (任意)

                                      start キーワードの後ろに指定した日時から有効になる絶対ルールを作成します。 end キーワードを省略すると、そのルールは開始日時を過ぎると常に有効になります。

                                       
                                      ステップ 6 [sequence-number] absolute [start time date] end time date


                                      例:
                                      switch(config-time-range)# absolute end 23:59:59 31 december 2008
                                       
                                      (任意)

                                      end キーワードの後ろに指定した日時まで有効になる絶対ルールを作成します。 start キーワードを省略すると、そのルールは終了日時を過ぎるまで常に有効です。

                                       
                                      ステップ 7 no {sequence-number | periodic arguments . . . | absolute arguments. . .}


                                      例:
                                      switch(config-time-range)# no 80
                                       
                                      (任意)

                                      時間範囲から特定のルールを削除します。

                                       
                                      ステップ 8 show time-range name


                                      例:
                                      switch(config-time-range)# show time-range workday-daytime
                                       
                                      (任意)

                                      時間範囲の設定を表示します。

                                       
                                      ステップ 9 copy running-config startup-config


                                      例:
                                      switch(config-time-range)# copy running-config startup-config
                                       
                                      (任意)

                                      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                       

                                      時間範囲の削除

                                      デバイスから時間範囲を削除できます。

                                      はじめる前に

                                      正しい VDC を使用していることを確認します(または switchto vdc コマンドを使用します)。 異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。

                                      その時間範囲が ACL ルールのいずれかに使用されているかどうかを確認します。 削除できるのは、ACL ルールに使用されている時間範囲です。 ACL ルールに使用されている時間範囲を削除しても、その ACL が適用されているインターフェイスの設定には影響しません。 デバイスは削除された時間範囲を使用する ACL ルールを空であると見なします。

                                      手順の概要

                                        1.    configure terminal

                                        2.    no time-range name

                                        3.    (任意) show time-range

                                        4.    (任意) copy running-config startup-config


                                      手順の詳細
                                         コマンドまたはアクション目的
                                        ステップ 1 configure terminal


                                        例:
                                        switch# configure terminal
                                        switch(config)#
                                        
                                         

                                        グローバル コンフィギュレーション モードを開始します。

                                         
                                        ステップ 2 no time-range name


                                        例:
                                        switch(config)# no time-range daily-workhours
                                        
                                         

                                        名前を指定した時間範囲を削除します。

                                         
                                        ステップ 3 show time-range


                                        例:
                                        switch(config-time-range)# show time-range
                                        
                                         
                                        (任意)

                                        すべての時間範囲の設定を表示します。 削除された時間範囲は表示されません。

                                         
                                        ステップ 4 copy running-config startup-config


                                        例:
                                        switch# copy running-config startup-config
                                        
                                         
                                        (任意)

                                        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                         

                                        時間範囲のシーケンス番号の変更

                                        時間範囲のルールに割り当てられているすべてのシーケンス番号を変更できます。

                                        はじめる前に

                                        正しい VDC を使用していることを確認します(または switchto vdc コマンドを使用します)。 異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。

                                        手順の概要

                                          1.    configure terminal

                                          2.    resequence time-range name starting-sequence-number increment

                                          3.    (任意) show time-range name

                                          4.    (任意) copy running-config startup-config


                                        手順の詳細
                                           コマンドまたはアクション目的
                                          ステップ 1 configure terminal


                                          例:
                                          switch# configure terminal
                                          switch(config)#
                                           

                                          グローバル コンフィギュレーション モードを開始します。

                                           
                                          ステップ 2 resequence time-range name starting-sequence-number increment


                                          例:
                                          switch(config)# resequence time-range daily-workhours 100 10
                                          switch(config)#
                                           

                                          時間範囲のルールにシーケンス番号を割り当てます。指定した開始シーケンス番号は最初のルールに割り当てられます。 後続の各ルールには、直前のルールよりも大きい番号が付けられます。 番号の間隔は、指定した増分によって決まります。

                                           
                                          ステップ 3 show time-range name


                                          例:
                                          switch(config)# show time-range daily-workhours
                                           
                                          (任意)

                                          時間範囲の設定を表示します。

                                           
                                          ステップ 4 copy running-config startup-config


                                          例:
                                          switch(config)# copy running-config startup-config
                                           
                                          (任意)

                                          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                                           

                                          時間範囲設定の確認

                                          時間範囲の設定情報を表示するには、次のいずれかの作業を行います。 これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

                                          コマンド

                                          目的

                                          show time-range

                                          時間範囲の設定を表示します。

                                          show running-config aclmgr

                                          すべての時間範囲を含めて、ACL の設定を表示します。

                                          IP ACL に関する追加情報

                                          関連資料

                                          関連項目

                                          マニュアル タイトル

                                          IP ACL コマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例

                                          『Cisco Nexus 7000 Series NX-OS Security Command Reference』

                                          オブジェクト グループのコマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例

                                          『Cisco Nexus 7000 Series NX-OS Security Command Reference』

                                          時間範囲のコマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例

                                          『Cisco Nexus 7000 Series NX-OS Security Command Reference』

                                          SNMP

                                          『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』

                                          Standards

                                          Standards

                                          Title

                                          この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

                                          IP ACL の機能の履歴

                                          次の表に、この機能のリリースの履歴を示します。



                                          表 4  IP ACL の機能の履歴

                                          機能名

                                          リリース

                                          機能情報

                                          IP ACL

                                          6.2(2)

                                          ACL TCAM バンク マッピングのサポートが追加されました。

                                          IP ACL

                                          6.1(1)

                                          M2 シリーズ モジュールが更新されました。

                                          IP ACL

                                          6.0(1)

                                          F2 シリーズ モジュールが更新されました。

                                          FCoE ACL

                                          5.2(1)

                                          F1 シリーズ モジュールに FCoE ACL のサポートが追加されました。

                                          IP ACL

                                          5.2(1)

                                          M1 シリーズ モジュールに ACL キャプチャのサポートが追加されました。

                                          IP ACL

                                          5.2(1)

                                          実行コンフィギュレーションとスタートアップ コンフィギュレーションでユーザ設定 ACL だけを表示する(およびデフォルトの CoPP 設定 ACL を表示しない)ように、show running-config aclmgr コマンドと show startup-config aclmgr コマンドが変更されました。

                                          VTY ACL

                                          5.1(1)

                                          VTY 回線で受信したトラフィックに対するアクセス コントロールのサポートが追加されました。

                                          IP ACL

                                          5.0(2)

                                          スケーラブルなサービス ライセンスがインストールされており、XL ラインカードを使用している場合、最大 128K の ACL エントリがサポートされるようになりました。

                                          ACL のロギング

                                          4.2(3)

                                          ACL 処理用にスーパーバイザ モジュールに送信されたパケットのロギングのサポートが追加されました。

                                          IP ACL

                                          4.2(1)

                                          レイヤ 2 インターフェイスでの MAC パケット分類のサポートが追加されました。