Catalyst 2950 LRE デスクトップ スイッチ ソフトウェア コンフィギュレーション ガイド
ACLによるネットワーク セキュリティ の設定
ACLによるネットワーク セキュリティの設定
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ACLによるネットワーク セキュリティの設定

ACLの概要

分割トラフィックおよび非分割トラフィックの処理

アクセス制御パラメータの概要

物理インターフェイスにACLを適用する場合の注意事項

ACLの設定

サポート対象外の機能

標準および拡張IP ACLの作成

ACL番号

番号制標準ACLの作成

番号制拡張ACLの作成

名前付き標準および拡張ACLの作成

ACLへの時間範囲の適用

エントリに関するコメントをACLに組み込む方法

名前付きMAC拡張ACLの作成

MACアクセス グループの作成

端末回線または物理インターフェイスへのACLの適用

端末回線へのACLの適用

物理インターフェイスへのACLの適用

ACL情報の表示

ACLの表示

アクセス グループの表示

ACLの設定例

番号制ACLの例

拡張ACLの例

名前付きACLの例

コメント付きIP ACEエントリの例

ACLによるネットワーク セキュリティの設定

この章では、Access Control List(ACL;アクセス制御リスト)を使用することによって、スイッチ上でネットワーク セキュリティを設定する方法について説明します。コマンドおよび表の中では、ACLの意味で アクセス リスト という言葉を使用しています。

ACLは物理インターフェイスまたは管理インターフェイス用に作成できます。管理インターフェイスは、管理VLANとして、またはSNMP、Telnet、WebトラフィックのようにCPUに直接送られるトラフィックとして定義されます。スイッチにSI(標準ソフトウェア イメージ)またはEI(拡張ソフトウェア イメージ)がインストールされている場合は、管理インターフェイス用のACLを作成できます。ただし、ACLを物理インターフェイスに適用するには、スイッチにEIをインストールしておく必要があります。


) 物理インターフェイスに適用するACLの場合、マスクが1つという制限があります。また、一部のキーワードはサポートされません。詳細は、「物理インターフェイスにACLを適用する場合の注意事項」を参照してください。



) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンス、『Cisco IOS IP and IP Routing Configuration Guide』の「Configuring IP Services」、および『Command Reference for IOS Release 12.1』を参照してください。


この章で説明する内容は、次のとおりです。

「ACLの概要」

「ACLの設定」

「ACL情報の表示」

「ACLの設定例」

ACLは、Cluster Management Suite(CMS)を使用することによって、またはCLI(コマンドライン インターフェイス)から設定できます。CMSでの具体的な設定手順については、CMSのオンラインヘルプを参照してください。CMSのアクセス方法および使用方法については、 第3章「CMSの基本」 を参照してください。

セキュリティ ウィザードを使用することによって、スイッチ上で着信トラフィックをフィルタリングすることもできます。フィルタリングは、ネットワーク アドレス、Transmission Control Protocol(TCP)アプリケーション、またはUser Datagram Protocol(UDP)アプリケーションに基づいて行うことができます。フィルタリング条件と一致したパケットを廃棄するかまたは転送するかを選択できます。このウィザードを使用するには、ネットワークがどのように設計されており、フィルタリング装置でインターフェイスがどのように使用されているかを把握する必要があります。セキュリティ ウィザードでの具体的な設定手順については、ウィザードのオンラインヘルプを参照してください。

ACLの概要

パケット フィルタリングによって、ネットワーク トラフィックを限定し、さらに特定のユーザまたは装置に使用させるネットワークを制限することができます。ACLを使用すると、スイッチを通過するトラフィックをフィルタリングし、指定されたインターフェイスでパケットを許可または拒否することができます。ACLは、パケットに適用される許可条件および拒否条件を集めて順番に並べたものです。パケットがインターフェイスに着信すると、スイッチはパケットのフィールドと適用されるACLを比較し、アクセス リストに指定されている条件に基づいて、転送に必要な許可がパケットに与えられているかどうかを調べます。スイッチはパケットをアクセス リストの1つ1つの条件と突き合わせます。最初に一致した条件によって、スイッチがパケットを許可するかまたは拒否するかが決まります。スイッチは最初に一致した時点で条件のテストを中止するので、リストに条件を指定する順序が重要です。いずれの条件とも一致しなかった場合、スイッチはパケットを拒否します。制限がない場合、スイッチはパケットを転送し、制限がある場合はパケットを廃棄します。

レイヤ2スイッチ上でアクセス リストを定義することによって、ネットワークに基本的なセキュリティを備えることができます。ACLを設定しないと、スイッチを通過するパケットはすべて、ネットワークのあらゆる部分に伝送される可能性があります。ACLを使用すると、ネットワークの各部分にアクセスできるホストを制御したり、スイッチのインターフェイスで転送またはブロックするトラフィックのタイプを決定することができます。たとえば、電子メール トラフィックの転送は許可し、Telnetトラフィックは許可しないといったことができます。ACLを設定することによって、着信トラフィックをブロックすることもできます。

ACLにはAccess Control Entry(ACE;アクセス制御エントリ)を順番に指定したリストが含まれます。ACEごとに、 permit または deny 、およびACEと一致するためにパケットが満たさなければならない一連の条件を指定します。 permit または deny の意味は、ACLが使用されるコンテキストによって異なります。

スイッチは物理インターフェイスにおいて、着信方向で次のタイプのACLをサポートします。

IP ACLはIP、TCP、およびUDPトラフィックをフィルタリングします。

イーサネットまたはMAC ACLはレイヤ2トラフィックをフィルタリングします。

MAC拡張アクセス リストでは、送信元MACアドレス、宛先MACアドレス、およびオプションとしてプロトコル タイプ情報を使用して照合します。

標準IPアクセス リストでは、送信元アドレスを使用して照合します。

拡張IPアクセス リストでは、送信元アドレス、宛先アドレス、およびオプションとしてプロトコル タイプ情報を使用して照合します。

スイッチは、所定のインターフェイスで設定されている機能に対応するアクセス リストを調べます。パケットがインターフェイスのスイッチに届くと、そのインターフェイス上のすべての着信機能に対応づけられたACLが検証されます。

ACLはパケットがACLエントリとどのように一致したかによって、パケットの転送を許可または拒否します。たとえばACLを使用すると、あるホストにはネットワークの一部へのアクセスを許可するが、別のホストには同じ部分へのアクセスを禁止することができます。図 25-1では、スイッチの入力に適用されたACLによって、ホストAは人事ネットワークにアクセスすることが許可され、ホストBは同じネットワークへのアクセスが禁止されます。

図 25-1 ACLによるネットワークへのトラフィック制御

 

分割トラフィックおよび非分割トラフィックの処理

IPパケットは、ネットワークを通過中に分割されることがあります。分割された場合、TCPまたはUDPポート番号、Internet Control Message Protocol(ICMP)タイプ、コードなどのレイヤ4情報が格納されているのは、パケットの先頭部分が含まれるフラグメントだけです。他のいずれのフラグメントにも、この情報は格納されません。

一部のACEはレイヤ4情報を調べないため、すべてのパケット フラグメントに適用できます。ただし、レイヤ4情報をテストするACEは、通常の方法では、フラグメントIPパケットの大部分のフラグメントに適用できません。フラグメントにレイヤ4情報が含まれず、ACEが一部のレイヤ4情報をテストする場合は、照合ルールを次のように変更します。

フラグメント内のレイヤ3情報(TCP、UDPなどのプロトコル タイプを含む)を調べる許可ACEは、格納されていないレイヤ4情報に関係なく、フラグメントに一致するとみなされます。

レイヤ4情報を調べる拒否ACEは、フラグメントにレイヤ4情報が格納されていないかぎり、フラグメントと一致することはありません。

次のコマンドで設定されたアクセス リスト102が3つのフラグメント パケットに適用されたとします。

Switch (config)# access-list 102 permit tcp any host 10.1.1.1 eq smtp
Switch (config)# access-list 102 deny tcp any host 10.1.1.2 eq telnet
Switch (config)# access-list 102 deny tcp any any
 

) この例の1番目および2番目のACEで、宛先アドレスの後にeqキーワードが指定されています。これは、TCP宛先ポートのうち、それぞれSimple Mail Transfer Protocol(SMTP;簡易メール転送プロトコル)およびTelnetに対応するwell-known番号の有無をテストするという意味です。


パケットAは、ホスト10.2.2.2のポート65000からSMTPポート上のホスト10.1.1.1へ送信されるTCPパケットです。このパケットが分割される場合、最初のフラグメントは、すべてのレイヤ4情報が格納されているので、完全なパケットの場合と同様、最初のACE(許可)と一致します。残りのフラグメントも最初のACEと一致します。SMTPポート情報の有無に関わらず、最初のACEはフラグメントに適用された時点で、レイヤ3情報だけを調べるためです(この例の情報は、パケットがTCPで宛先が10.1.1.1ということです)。

パケットBは、ホスト10.2.2.2のポート65001からTelnetポート上のホスト10.1.1.2へ送信されるTCPパケットです。このパケットが分割される場合、最初のフラグメントは2番目のACE(拒否)と一致します。すべてのレイヤ3情報とレイヤ4情報があるためです。パケットの残りのフラグメントは、レイヤ4情報がないので、2番目のACEと一致しません。

最初のフラグメントが拒否されたので、ホスト10.1.1.2は完全なパケットを再び組み立てることができず、パケットBは事実上、拒否されます。ただし、許可されたあとのフラグメントがパケットを再び組み立てるときに、ネットワーク帯域幅とホスト10.1.1.2のリソースが消費されます。

分割パケットCは、ホスト10.2.2.2のポート65001からホスト10.1.1.3のポートftpに送信されます。このパケットが分割される場合、最初のフラグメントは3番目のACE(拒否)と一致します。他のフラグメントもすべて、3番目のACEと一致します。このACEはレイヤ4情報を調べず、すべてのフラグメントに含まれているレイヤ3情報から、ホスト10.1.1.3に送信中であることが認識され、前の許可ACEは別のホストをチェックしていたということがわかるためです。

アクセス制御パラメータの概要

スイッチ上でACLを設定する前に、Access Control Parameter(ACP;アクセス制御パラメータ)を十分に理解しておく必要があります。ACPはスイッチのCLIコマンド、出力、およびCMSではマスクと呼ばれます。

各ACEに、マスクとルールが1つずつあります。分類フィールド、すなわちマスクは、動作の実行対象となるフィールドです。特定のマスクに対応づけられた具体的な値をルールといいます。

パケットは、次のレイヤ2、レイヤ3、およびレイヤ4フィールドで分類できます。

レイヤ2フィールド:

送信元MACアドレス(48ビット全部を指定)

宛先MACアドレス(48ビット全部を指定)

Ethertype(16ビットのEthertypeフィールド)

これらのフィールドを任意に組み合わせて、または同時に全部使用して、フローを定義できます。

レイヤ3フィールド:

IP送信元アドレス(32のIP送信元アドレス ビットをすべて指定してフローを定義するか、またはユーザ定義のサブネットを指定します。指定するIPサブネットに制限はありません)

IP宛先アドレス(32のIP宛先アドレス ビットをすべて指定してフローを定義するか、またはユーザ定義のサブネットを指定します。指定するIPサブネットに制限はありません)

これらのフィールドを任意に組み合わせて、または同時に全部使用して、フローを定義できます。

レイヤ4フィールド:

TCP(TCP送信元ポート番号、宛先ポート番号、または両方を同時に指定できます)

UDP(UDP送信元ポート番号、宛先ポート番号、または両方を同時に指定できます)


) マスクは、複数のレイヤ3およびレイヤ4フィールドを組み合わせるか、または複数のレイヤ2フィールドを組み合わせたものにすることができます。レイヤ2フィールドをレイヤ3またはレイヤ4フィールドと組み合わせることはできません。


マスクには次の2種類があります。

ユーザ定義マスク ― ユーザが定義するマスク

システム定義マスク ― 任意のインターフェイスに次のマスクを設定できます。

Switch (config-ext-nacl)# permit tcp any any
Switch (config-ext-nacl)# deny tcp any any
Switch (config-ext-nacl)# permit udp any any
Switch (config-ext-nacl)# deny udp any any
Switch (config-ext-nacl)# permit ip any any
Switch (config-ext-nacl)# deny ip any any
Switch (config-ext-nacl)# deny any any
Switch (config-ext-nacl)# permit any any

) IP拡張ACL(名前付きと番号制の両方)では、レイヤ4のシステム定義マスクをレイヤ3のユーザ定義マスクより先行させることはできません。たとえば、permit tcp any anyまたはdeny udp any anyといったレイヤ4のシステム定義マスクをpermit ip 10.1.1.1 anyなどのレイヤ3ユーザ定義マスクより前に指定することはできません。この組み合わせを設定した場合、レイヤ2インターフェイスではACLを使用できません。それ以外であれば、システム定義マスクとユーザ定義マスクのあらゆる組み合わせをセキュリティACLで使用できます。


スイッチのACLの設定は、他のシスコCatalystスイッチとの一貫性があります。ただし、スイッチ上でのACLの設定には、重要な制限事項があります。

システム全体で定義できるユーザ定義マスクは4つだけです。ユーザ定義マスクは、セキュリティまたはQuality of Service(QoS;サービス品質)のどちらにも使用できますが、QoSとセキュリティ間で共用することはできません。ACLは必要な数だけいくつでも設定できます。ただし、4種類を超えるマスクを設定したACLがインターフェイスに適用されると、エラー メッセージが表示されます。エラー メッセージの詳細は、このリリースに対応するシステム メッセージ ガイドを参照してください。

表 25-1 に、スイッチにおけるACLの制限事項を示します。

 

表 25-1 ACLの制限事項の概要

制限事項
許容数

1つのACLで使用できるユーザ定義マスクの数

1

1つのインターフェイスで使用できるACLの数

1

セキュリティおよびQoS用として1台のスイッチ上で使用できるユーザ定義マスクの総数

4

物理インターフェイスにACLを適用する場合の注意事項

物理インターフェイスにACLを適用する場合は、次に示す設定時の注意事項に従ってください。

1つのインターフェイスに結合できるACLは1つだけです。詳細については、このリリースに対応する コマンド リファレンス ip access-group インターフェイス コマンドを参照してください。

ACL内のすべてのACEに同じユーザ定義マスクを設定する必要があります。ただし、ACEには同じマスクを使用するさまざまなルールを設定できます。1つのインターフェイスで使用できるユーザ定義マスクは1種類だけですが、システム定義マスクは任意の数だけ適用できます。システム定義マスクの詳細については、「アクセス制御パラメータの概要」を参照してください。

ACL内の同一マスクの例を示します。

Switch (config)#ip access-list extended acl2
Switch (config-ext-nacl)# permit tcp 10.1.1.1 0.0.0.0 any eq 80
Switch (config-ext-nacl)# permit tcp 20.1.1.1 0.0.0.0 any eq 23
 

この例では、最初のACEによって、宛先TCPポート番号80を指定してホスト10.1.1.1から送られてきたすべてのTCPパケットが許可されます。2番目のACEによって、宛先TCPポート番号23を指定してホスト20.1.1.1から送られてきたすべてのTCPパケットが許可されます。どちらのACEも同じマスクを使用しているので、スイッチはこのACLをサポートします。

物理インターフェイスにACLを適用する場合、一部のキーワードはサポートされません。また、マスクに関して一定の制限がACLに適用されます。このようなACLの作成手順については、「番号制標準ACLの作成」および「番号制拡張ACLの作成」を参照してください。


) 上記の制約を受けずに、管理インターフェイスにACLを適用することもできます。詳細については、『Cisco IOS IP and IP Routing Configuration Guide』の「Configuring IP Services」および『Command Reference for IOS Release 12.1』を参照してください。


ACLの設定

ここでは、次の事項について説明します。

「サポート対象外の機能」

「標準および拡張IP ACLの作成」

「名前付きMAC拡張ACLの作成」

「MACアクセス グループの作成」

レイヤ2インターフェイス上でACLを設定する手順は、シスコ ルータ上でACLを設定する場合と同じです。ここで、手順を簡単に説明します。ルータACLを設定する場合の詳細については、『 Cisco IP and IP Routing Configuration Guide for IOS Release 12.1 』の「Configuring IP Services」を参照してください。コマンドの詳細については、『 Cisco IOS IP and IP Routing Command Reference for IOS Release 12.1』を参照してください。 スイッチでサポートされないIOS機能の一覧については、「サポート対象外の機能」を参照してください。

サポート対象外の機能

スイッチがサポートしないIOSルータACL関連の機能は、次のとおりです。

非IPプロトコルACL(アクセス リスト番号を参照)

ブリッジ グループACL

IPアカウンティング

発信方向でのACLサポート

着信および発信レート制限(QoS ACLを除く)

ヘッダー長が5バイト未満のIPパケット

再帰ACL

ダイナミックACL(スイッチ クラスタリング機能が使用する一部の特殊なダイナミックACLは除く)

ICMPベースのフィルタリング

Interior Gateway Routing Protocol(IGMP)ベースのフィルタリング

標準および拡張IP ACLの作成

ここでは、スイッチのIP ACLを作成する方法について説明します。スイッチはパケットをアクセス リストの1つ1つの条件と照合します。最初に一致した条件によって、スイッチがパケットを許可するかまたは拒否するかが決まります。スイッチは最初に一致した時点で条件のテストを中止するので、条件の指定順序が重要です。いずれの条件とも一致しなかった場合、スイッチはパケットを拒否します。

ACLの使用手順は、次のとおりです。


ステップ 1 アクセス リストの番号または名前およびアクセス条件を指定することによって、ACLを作成します。

ステップ 2 インターフェイスまたは端末回線にACLを適用します。


 

ソフトウェアがサポートするIPアクセス リストの種類は、次のとおりです。

標準IPアクセス リストでは、送信元アドレスを使用して照合します。

拡張IPアクセス リストでは、送信元アドレスおよび宛先アドレスを使用して照合し、オプションとしてプロトコル タイプ情報を使用して、より細かな制御を行います。


) MAC拡張アクセス リストでは、送信元MACアドレス、宛先MACアドレス、およびオプションとしてプロトコル タイプ情報を使用して照合します。詳細は、「名前付きMAC拡張ACLの作成」を参照してください。


次に、アクセス リストとその使用手順について説明します。

ACL番号

ACLを表すために使用する番号は、作成するアクセス リストのタイプを示します。 表 25-2 に、アクセス リスト番号および対応するタイプを示し、さらにスイッチがサポートするかどうかを示します。スイッチは、IP標準およびIP拡張アクセス リスト(番号1~199および1300~2699)をサポートします。

 

表 25-2 アクセス リスト番号

ACL番号
タイプ
サポート

1~99

IP標準アクセス リスト

Yes

100~199

IP拡張アクセス リスト

Yes

200~299

プロトコル タイプ コード アクセス リスト

No

300~399

DECnetアクセス リスト

No

400~499

XNS標準アクセス リスト

No

500~599

XNS拡張アクセス リスト

No

600~699

AppleTalkアクセス リスト

No

700~799

48ビットMACアドレス アクセス リスト

No

800~899

IPX標準アクセス リスト

No

900~999

IPX拡張アクセス リスト

No

1000~1099

IPX SAPアクセス リスト

No

1100~1199

拡張48ビットMACアドレス アクセス リスト

No

1200~1299

IPXサマリー アドレス アクセス リスト

No

1300~1999

IP標準アクセス リスト(拡張範囲)

Yes

2000~2699

IP拡張アクセス リスト(拡張範囲)

Yes


) 番号制標準および拡張ACLのほかに、サポートされている番号を使用することによって、名前付き標準および拡張IP ACLを作成することもできます。標準IP ACLの名前は1~99、拡張IP ACLの名前は100~199にできます。番号制リストの代わりに名前付きACLを使用した場合、名前付きリストから個々のエントリを削除できるという利点があります。


番号制標準ACLの作成


) 管理インターフェイスに適用するACLの作成手順については、『Cisco IOS IP and IP Routing Configuration Guide』の「Configuring IP Services」および『Command Reference for IOS Release 12.1』を参照してください。このようなACLを適用できるのは、管理インターフェイスに限定されます。


番号制標準IP ACLを作成するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

送信元アドレスとワイルドカードを使用することによって、標準IP ACLを定義します。

access-list-number は、1~99または1300~1999の10進数です。

deny または permit を入力し、条件と一致した場合にアクセスを拒否するのか、それとも許可するのかを指定します。

source は、パケットが送られてくるネットワークまたはホストの送信元アドレスです。

ドット付き10進表記で32ビットの値。

キーワード any は0.0.0.0 255.255.255.255という source および source-wildcard の省略形です。source-wildcardの入力は不要です。

キーワード host は、 source 0.0.0.0という source および source-wildcard の省略形です。

(任意) source-wildcard によって、ワイルドカード ビットがsourceに適用されます(最初のリスト項目を参照)。


logオプションは、スイッチではサポートされません。


ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show access-lists [number | name]

アクセス リストの設定を表示します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ACL全体を削除する場合は、 no access-list access-list-number グローバル コンフィギュレーション コマンドを使用します。番号制アクセス リストからACEを個別に削除することはできません。


) ACLを作成するときには、ACLの末尾に到達するまでに1つも一致しなかった場合、デフォルトで、すべてのパケットに対する暗黙の拒否ステートメントがACLの末尾に組み込まれることに注意してください。標準アクセス リストで、対応するIPホスト アドレスのACL仕様に基づくマスクを指定しなかった場合、0.0.0.0がマスクとして使用されます。


次にIPホスト171.69.198.102へのアクセスを拒否し、それ以外のあらゆるホストへのアクセスを許可する標準ACLを作成し、その結果を表示する例を示します。

Switch (config)# access-list 2 deny host 171.69.198.102
Switch (config)# access-list 2 permit any
Switch(config)# end
Switch# show access-lists
Standard IP access list 2
deny 171.69.198.102
permit any
 

番号制拡張ACLの作成

標準ACLの場合、一致基準には送信元アドレスだけが使用されますが、拡張ACLでは送信元および宛先アドレスとともに、オプションとしてプロトコル タイプ情報を使用して照合できるので、より細かな制御が可能です。プロトコルによっては、そのプロトコルに適用される固有のパラメータおよびキーワードもあります。

物理インターフェイスでは、次のIPプロトコルがサポートされます(プロトコル キーワードはカッコ内の太字)。Internet Protocol( ip )、Transmission Control Protocol( tcp )、またはUser Datagram Protocol( udp )です。

サポートされるパラメータは、次のカテゴリに分けられます。

TCP

UDP

表 25-3 に、ACEで使用できるフィルタリング パラメータをプロトコル タイプ別に示します。

 

表 25-3 ACEでサポートされるフィルタリング パラメータ(IPプロトコル別)

フィルタリング パラメータ1
TCP
UDP
レイヤ3パラメータ

IP Type of Service(ToS;サービス タイプ)バイト2

-

-

Differentiated Services Code Point(DSCP)

X

X

IP送信元アドレス

X

X

IP宛先アドレス

X

X

フラグメント

-

-

TCPまたはUDP

X

X

レイヤ4パラメータ

送信元ポート演算子

X

X

送信元ポート

X

X

宛先ポート演算子

X

X

宛先ポート

X

X

TCPフラグ

-

-

1.プロトコル欄のXは、そのフィルタリング パラメータがサポートされることを意味します。

2.minimize-monetary-cost ToSビットはサポートされません。

各プロトコルに関連する固有のキーワードの詳細については、『 Cisco IP and IP Routing Command Reference for IOS Release 12.1 』を参照してください。


) スイッチは、動的アクセス リストまたは再帰アクセス リストをサポートしません。さらに、minimize-monetary-cost ToSビットに基づくフィルタリングをサポートしません。


番号制拡張アクセス リストでACEを作成する場合、リストの作成後に追加したものは、リストの末尾に組み込まれることに注意してください。番号制リストの場合、リストを並べ替えたり、ACEを選択して追加および削除したりすることはできません。


) 管理インターフェイスに適用するACLの作成手順については、『Cisco IOS IP and IP Routing Configuration Guide』の「Configuring IP Services」および『Command Reference for IOS Release 12.1』を参照してください。ACLを適用できるのは、管理インターフェイスまたはSNMP、Telnet、WebトラフィックなどのCPUに限られます。


拡張ACLを作成するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

access-list access-list-number
{ deny | permit | remark } protocol
{ source source-wildcard | host source | any } [ operator port ] { destination destination-wildcard | host destination | any } [ operator port ] [ dscp dscp-value ] [ time-range time-range-name ]

拡張IPアクセス リストおよびアクセス条件を定義します。

access-list-number は、100~199または2000~2699の10進数です。

deny または permit を入力し、条件と一致した場合にパケットを拒否するか、または許可するかを指定します。

protocol には、IPプロトコルの名前または番号を入力します( IP TCP 、または UDP )。あらゆるInternet Protocol(TCPおよびUDPを含む)と照合する場合は、キーワード ip を使用します。

source は、パケットの送信元であるネットワークまたはホストの番号です。

source-wildcard によって、ワイルドカード ビットがsourceに適用されます。

destination は、パケットの送信先ネットワークまたはホストの番号です。

宛先ポートまたは送信元ポートを定義します。

operator に使用できるのは eq (equal)だけです。

source source-wildcard の後ろに演算子を指定した場合、送信元ポートと定義したポートが同じ場合に条件が一致します。

destination destination-wildcard の後ろに演算子を指定した場合、宛先ポートと定義したポートが同じ場合に条件が一致します。

port は、TCPまたはUDPポートを表す10進数または名前です。指定できる番号は0~65535です。

TCPポート名は、TCPトラフィック専用です。

UDPポート名は、UDPトラフィック専用です。

destination-wildcard によって、ワイルドカード ビットがdestinationに適用されます。

source source-wildcard destination 、および destination-wildcard は、次の3通りの指定が可能です。

ドット付き10進表記で32ビットの値。

0.0.0.0 255.255.255.255という source および source-wildcard またはあらゆる送信元ホストを表わす省略形としてのキーワード any

キーワード host の後ろにドット付き10進表記で32ビットの値。これは、 source 0.0.0.0という source および source-wildcard を持つ単一ホストを表わす省略形です。

dscp ― サポートされる13のDSCP値(0、8、10、16、18、24、26、32、34、40、46、48、および56)のいずれかとパケットを照合する場合に入力します。または疑問符(?)を入力すると、使用できる値のリストが表示されます。

time-range キーワードは任意です。このキーワードについては、「ACLへの時間範囲の適用」を参照してください。

ステップ 3

show access-lists [number | name]

アクセス リストの設定を確認します。

ステップ 4

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アクセス リスト全体を削除する場合は、 no access-list access-list-number グローバル コンフィギュレーション コマンドを使用します。番号制アクセス リストからACEを個別に削除することはできません。

ネットワーク171.69.198.0のあらゆるホストからネットワーク172.20.52.0のあらゆるホストへのTelnetアクセスを禁止し、他のあらゆるアクセスを許可する拡張アクセス リストを作成し、表示する例を示します(宛先アドレスの後ろに eq キーワードを指定すると、TCP宛先ポート番号がTelnetと同じかどうかがテストされます)。

Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet

Switch(config)# access-list 102 permit tcp any any

Switch(config)# end

Switch# show access-lists
Extended IP access list 102
deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
permit tcp any any

 

ACLの作成後に(端末から入力するなどして)追加したものは、リストの末尾に組み込まれます。ACLにACEを追加することはできますが、ACEを1つでも削除すると、ACL全体が削除されます。


) ACLを作成するときには、アクセス リストの末尾に到達するまでに1つも一致しなかった場合、デフォルトで、すべてのパケットに対する暗黙の拒否ステートメントがアクセス リストの末尾に組み込まれることに注意してください。標準アクセス リストで、対応するIPホスト アドレスのACL仕様に基づくマスクを指定しなかった場合、0.0.0.0がマスクとして使用されます。


ACLの作成後、「端末回線または物理インターフェイスへのACLの適用」で説明するように、回線またはインターフェイスにACLを適用する必要があります。

名前付き標準および拡張ACLの作成

番号ではなく英数字の文字列(名前)で、IP ACLを特定することができます。名前付きACLを使用すると、番号制アクセス リストの場合より多くのIPアクセス リストをスイッチ上で設定できます。番号ではなく名前でアクセス リストを指定する場合、モードとコマンド構文が多少異なります。ただし、IPアクセス リストを使用するコマンドのすべてが名前付きACLを許可するわけではありません。


) 標準ACLまたは拡張ACLに指定する名前は、アクセス リスト番号のサポートされる範囲内の番号にすることもできます。標準IP ACLの名前は1~99、拡張IP ACLの名前は100~199にできます。番号制リストの代わりに名前付きACLを使用した場合、名前付きリストからエントリを個別に削除できるという利点があります。


名前付きACLを設定する前に、次の注意事項と制限事項に注意してください。

標準ACLと拡張ACLに同じ名前を指定することはできません。

「標準および拡張IP ACLの作成」で説明したとおり、番号制ACLを使用することもできます。

名前を使用して名前付き標準ACLを作成するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip access-list standard { name | access-list-number }

名前を使用して標準IPアクセス リストを定義し、アクセス リスト コンフィギュレーション モードを開始します。


) 名前は、1~99の番号にすることができます。


ステップ 3

deny { source source-wildcard | host source | any }

または

permit { source source-wildcard | host source | any }

アクセス リスト コンフィギュレーション モードで、パケットを転送するのか廃棄するのかを決定づける、拒否条件または許可条件を1つまたは複数指定します。

host source は、 source 0.0.0.0という source および source-wildcard を表します。

any は、0.0.0.0 255.255.255.255という source および source-wildcard を表します。


logオプションは、スイッチではサポートされません。


ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show access-lists [number | name]

アクセス リストの設定を表示します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

名前を使用して名前付き拡張ACLを作成するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip access-list extended { name | access-list-number }

名前を使用して拡張IPアクセス リストを定義し、アクセス リスト コンフィギュレーション モードを開始します。


) 名前は、100~199の番号にすることができます。


ステップ 3

アクセス リスト コンフィギュレーション モードで、許可条件または拒否条件を指定します。

プロトコルおよび他のキーワードの定義については、「番号制拡張ACLの作成」を参照してください。

host source は、 source 0.0.0.0という source および source-wildcard を表します。 host destination は、 destination 0.0.0.0という destination および destination-wildcard を表します。

any は、0.0.0.0 255.255.255.255という source および source-wildcard または destination および destination-wildcard を表します。

dscp ― サポートされる13のDSCP値(0、8、10、16、18、24、26、32、34、40、46、48、および56)のいずれかとパケットを照合する場合に入力します。または疑問符(?)を入力すると、使用できる値のリストが表示されます。

time-range キーワードは任意です。このキーワードについては、「ACLへの時間範囲の適用」を参照してください。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show access-lists [number | name]

アクセス リストの設定を表示します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

標準ACLおよび拡張ACLを作成するときには、ACLの末尾に到達するまでに1つも一致しなかった場合、デフォルトで、あらゆるものに対する暗黙の拒否(deny)ステートメントがACLの末尾に組み込まれることに注意してください。標準ACLで、対応するIPホスト アドレスのアクセス リスト仕様に基づくマスクを指定しなかった場合、0.0.0.0がマスクとみなされます。

ACLの作成後に行った追加は、リストの末尾に組み込まれます。ACEを選択して特定のACLに追加することはできません。ただし、 no permit コマンドおよび no deny コマンドを使用すると、名前付きACLからACEを削除できます。次に、名前付きACLからACEを個別に削除する例を示します。

Switch(config)# ip access-list extended border-list
Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any
 

番号制ACLではなく名前付きACLを使用する理由の1つは、名前付きACLから行を選択して削除できるためです。

ACLの作成後、「端末回線または物理インターフェイスへのACLの適用」で説明するように、回線またはインターフェイスにACLを適用する必要があります。

ACLへの時間範囲の適用

time-range グローバル コンフィギュレーション コマンドを使用することによって、曜日および時刻に基づく拡張ACLを実装できます。最初に、時間範囲の名前、曜日および時刻を定義し、次にACL内の名前で時間範囲を参照してアクセス リストに制限を適用します。時間範囲を使用すると、ACLの許可または拒否(deny)ステートメントをいつ有効にするかを定義できます。「標準および拡張IP ACLの作成」および「名前付き標準および拡張ACLの作成」で説明した、名前付きおよび番号制拡張ACLの手順で、 time-range キーワードおよび引数を参照してください。

時間範囲を使用する利点は多数ありますが、その一部を紹介します。

アプリケーションなど、(IPアドレス マスク ペアおよびポート番号で識別される)リソースに対するユーザ アクセスの許可または拒否をきめ細かく制御できます。

ロギング メッセージを制御できます。ACLエントリは、常時ではなく、決まった時刻にトラフィックを記録できます。したがって、ピーク時に生成された多数のログを解析しなくても、簡単にアクセスを拒否できます。


) 時間範囲は、スイッチのシステム クロックに依存します。したがって、信頼できるクロック ソースが必要です。Network Time Protocol(NTP)を使用してスイッチ クロックを同期させることを推奨します。詳細は、「システム日時の管理」を参照してください。


ACLの時間範囲パラメータを設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

time-range time-range-name

意味のある名前( workhours など)で時間範囲を特定し、time-rangeコンフィギュレーション モードを開始します。名前にスペースまたは疑問符を含めることはできません。また、英字から始める必要があります。

ステップ 3

absolute [ start time date ]
[ end time date ]

または

periodic day-of-the-week hh:mm to [ day-of-the-week ] hh:mm

または

periodic { weekdays | weekend | daily } hh:mm to hh:mm

適用する機能がいつ動作可能になるかを指定します。次のコマンドを組み合わせて使用できます。 periodic ステートメントは複数使用できますが、 absolute ステートメントは1つしか使用できません。複数のabsoluteステートメントを設定した場合は、最後に設定したステートメントだけが実行されます。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show time-range

時間範囲の設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

設定した時間範囲を削除するには、 no time-range time-range-name グローバル コンフィギュレーション コマンドを使用します。

複数の項目を別々の時間で動作可能にする場合は、上記ステップを繰り返してください。

workhours (営業時間)および休業日の時間範囲を設定し、設定を確認する例を示します。

Switch(config)# time-range workhours
Switch(config-time-range)# periodic weekdays 8:00 to 12:00
Switch(config-time-range)# periodic weekdays 13:00 to 17:00
Switch(config-time-range)# exit
Switch(config)# time-range new_year_day_2000
Switch(config-time-range)# absolute start 00:00 1 Jan 2000 end 23:59 1 Jan 2000
Switch(config-time-range)# exit
Switch(config)# time-range thanksgiving_2000
Switch(config-time-range)# absolute start 00:00 22 Nov 2000 end 23:59 23 Nov 2000
Switch(config-time-range)# exit
Switch(config)# time-range christmas_2000
Switch(config-time-range)# absolute start 00:00 24 Dec 2000 end 23:50 25 Dec 2000
Switch(config-time-range)# end
Switch# show time-range
time-range entry: christmas_2000 (inactive)
absolute start 00:00 24 December 2000 end 23:50 25 December 2000
time-range entry: new_year_day_2000 (inactive)
absolute start 00:00 01 January 2000 end 23:59 01 January 2000
time-range entry: thanksgiving_2000 (inactive)
absolute start 00:00 22 November 2000 end 23:59 23 November 2000
time-range entry: workhours (inactive)
periodic weekdays 8:00 to 12:00
periodic weekdays 13:00 to 17:00
 

時間範囲を適用するには、時間範囲を実装できる拡張ACL内の名前( workhours など)で、その時間範囲を参照する必要があります。次に、拡張アクセス リスト188を作成して確認する例を示します。このアクセス リストでは、定義された休日の間はあらゆる送信元あらゆる宛先へのTCPトラフィックを拒否し、営業時間中はすべてのTCPトラフィックを許可します。

Switch(config)# access-list 188 deny tcp any any time-range new_year_day_2000
Switch(config)# access-list 188 deny tcp any any time-range thanskgiving_2000
Switch(config)# access-list 188 deny tcp any any time-range christmas_2000
Switch(config)# access-list 188 permit tcp any any time-range workhours
Switch(config)# end
Switch# show access-lists
Extended IP access list 188
deny tcp any any time-range new_year_day_2000 (inactive)
deny tcp any any time-range thanskgiving_2000 (active)
deny tcp any any time-range christmas_2000 (inactive)
permit tcp any any time-range workhours (inactive)
 

次に、名前付きACLを使用して、同じトラフィックを許可および拒否する例を示します。

Switch(config)# ip access-list extended deny_access
Switch(config-ext-nacl)# deny tcp any any time-range new_year_day_2000
Switch(config-ext-nacl)# deny tcp any any time-range thanksgiving_2000
Switch(config-ext-nacl)# deny tcp any any time-range christmas_2000
Switch(config-ext-nacl)# exit
Switch(config)# ip access-list extended may_access
Switch(config-ext-nacl)# permit tcp any any time-range workhours
Switch(config-ext-nacl)# end
Switch# show ip access-lists
Extended IP access list deny_access
deny tcp any any time-range new_year_day_2000 (inactive)
deny tcp any any time-range thanksgiving_2000 (inactive)
deny tcp any any time-range christmas_2000 (inactive)
Extended IP access list may_access
permit tcp any any time-range workhours (inactive)
 

エントリに関するコメントをACLに組み込む方法

remark コマンドを使用すると、エントリに関するコメント(remark)を任意のIP標準/拡張ACLに組み込むことができます。コメントを使用すると、ACLエントリの理解とスキャンが容易になります。1つのコメント行は100文字までです。

コメントは許可(permit)ステートメントまたは拒否(deny)ステートメントの前後どちらにでも配置できます。コメントがどの許可(permit)ステートメントまたは拒否(deny)ステートメントの説明であるのかが明白になるように、コメントの位置には一貫性が必要です。たとえば、一部のコメントは対応する許可または拒否(deny)ステートメントの前にあり、他のコメントは対応するステートメントの後ろにあるという状況は、矛盾の原因となります。

IP番号制標準または拡張ACLの場合、アクセス リストに関するコメントを組み込むには、 access-list access-list number remark remark グローバル コンフィギュレーション コマンドを使用します。コメントを削除するには、 no 形式のコマンドを使用します。

次の例では、Jonesのワークステーションにアクセスを許可し、Smithのワークステーションにはアクセスを許可しません。

Switch(config)# access-list 1 remark Permit only Jones workstation through
Switch(config)# access-list 1 permit 171.69.2.88
Switch(config)# access-list 1 remark Do not allow Smith workstation through
Switch(config)# access-list 1 deny 171.69.3.13
 

名前付きIP ACLのエントリに関しては、 remark アクセス リスト グローバル コンフィギュレーション コマンドを使用します。コメントを削除するには、 no 形式のコマンドを使用します。

次の例では、Jonesのサブネットに発信Telnetを使用させません。

Switch(config)# ip access-list extended telnetting
Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out
Switch(config-ext-nacl)# deny tcp host 171.69.2.88 any eq telnet
 

名前付きMAC拡張ACLの作成

MACアドレスおよび名前付きMAC拡張ACLを使用すると、物理レイヤ2のインターフェイス上で、レイヤ2トラフィックをフィルタリングできます。手順については、他の名前付き拡張アクセス リストを設定する場合と同様です。


) 名前付きMAC拡張ACLは、mac access-groupイネーブルEXECコマンドの一部として使用します。


mac access-list extended コマンドでサポートされる非IPプロトコルの詳細については、このリリースに対応するコマンド リファレンスを参照してください。


) SNAPでカプセル化されたパケットとゼロ以外のOrganizational Unique Identifier(OUI)との照合は、サポートされていません。


名前付きMAC拡張ACLを作成するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

mac access-list extended name

名前を使用して、拡張MACアクセス リストを定義します。

ステップ 3

{ deny | permit } { any | host source MAC address } { any | host destination MAC address } [ aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp]

拡張MACアクセス リスト コンフィギュレーション モードで、 any (あらゆる)送信元MACアドレスまたは特定の host 送信元MACアドレス、および any (あらゆる)宛先MACアドレスの permit または deny を指定します。

(任意)次のオプションを入力することもできます。

aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp ― (非IPプロトコル)

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show access-lists [number | name]

アクセス リストの設定を表示します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ACL全体を削除する場合は、 no mac access-list extended name グローバル コンフィギュレーション コマンドを使用します。名前付きMAC拡張ACLからACEを個別に削除することもできます。

EtherType DECnet Phase IVトラフィックだけを拒否し、他のあらゆるタイプのトラフィックを許可する、 mac1 という名前のアクセス リストを作成して表示する例を示します。

Switch(config)# mac access-list extended mac1
Switch(config-ext-macl)# deny any any decnet-iv
Switch(config-ext-macl)# permit any any
Switch(config-ext-macl)# end
Switch # show access-list
Extended MAC access list mac1
deny any any decnet-iv
permit any any
 

MACアクセス グループの作成

MACアクセス グループを作成し、インターフェイスにMACアクセス リストを適用するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを特定し、インターフェイス コンフィギュレーション モードを開始します。

インターフェイスはレイヤ2インターフェイスでなければなりません。

ステップ 3

mac access-group { name } { in }

MACアクセス リスト名を使用することによって、指定されたインターフェイスへのアクセスを制御します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show mac-access group

スイッチに適用されるMAC ACLを表示します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

インターフェイスGigabit Ethernet 0/1にACL 2を適用し、このインターフェイスに入ってくるパケットをフィルタリングする例を示します。

Switch(config)# interface gigabitethernet0/1
Router(config-if)# mac access-group 2 in
 

mac access-groupインターフェイス コンフィギュレーション コマンドが有効なのは、レイヤ2インターフェイスに適用された場合のみです。


着信ACLの場合、スイッチはパケットの受信後、そのパケットをACLと比較して調べます。ACLでパケットが許可されている場合、スイッチはパケットの処理を続けます。ACLでパケットが拒否された場合、スイッチはそのパケットを廃棄します。MAC ACLはIPパケットと非IPパケットの両方に適用されます。

インターフェイスに未定義のACLを適用した場合、スイッチはACLがインターフェイスに適用されなかったものとして、すべてのパケットを許可します。ネットワーク セキュリティ目的で未定義のACLを使用する場合は、この動作に注意してください。

端末回線または物理インターフェイスへのACLの適用


) 物理インターフェイスにACLを適用する前に、「物理インターフェイスにACLを適用する場合の注意事項」を参照してください。


ACLは任意の管理インターフェイスに適用できます。管理インターフェイスにACLを作成する手順については、『 Cisco IOS IP and IP Routing Configuration Guide 』の「Configuring IP Services」および『 Command Reference for IOS Release 12.1 』を参照してください。


) 物理インターフェイス上のACLに適用される制約は、管理インターフェイス上のACLには適用されません。


ACLの作成後、1つまたは複数の管理インターフェイスまたは端末回線に作成したACLを適用できます。ACLを適用できるのは着信インターフェイスです。ここでは、端末回線とネットワーク インターフェイスの両方について、作業手順を紹介します。次の注意事項を考慮してください。

回線へのアクセスを制御する場合は、番号制IP ACLまたはMAC拡張ACLを使用する必要があります。

インターフェイスへのアクセスを制御する場合は、名前付きまたは番号制ACLを使用できます。

すべての仮想端末回線にユーザが接続する可能性があるため、すべてに同じ制限を設定する必要があります。

管理インターフェイスにACLを適用した場合、ACLはSNMP、Telnet、Webトラフィックなど、CPUへ送られるパケットだけをフィルタリングします。

管理VLANにACLを適用する場合は、「管理VLAN」を参照してください。

端末回線へのACLの適用

仮想端末回線とACLに指定されたアドレス間の着信接続を制限するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

line [ console | vty ] line-number

設定する回線を特定し、インライン コンフィギュレーション モードを開始します。

コンソール端末回線として console と入力します。コンソール ポートはDCEです。

リモート コンソール アクセス用の仮想端末として、 vty と入力します。

line-number は、回線タイプを指定する場合、設定する連続グループ内で最初の回線番号です。指定できる範囲は0~16です。

ステップ 3

access-class access-list-number { in }

(装置に対する)特定の仮想端末回線とアクセス リストに指定されたアドレス間の着信および発信接続を制限します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

アクセス リストの設定を表示します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

物理インターフェイスへのACLの適用

レイヤ2インターフェイスへのアクセスを制御するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを特定し、インターフェイス コンフィギュレーション モードを開始します。

インターフェイスは、レイヤ2または管理インターフェイスにするか、または管理インターフェイスVLAN IDにしなければなりません。

ステップ 3

ip access-group { access-list-number | name } { in }

指定したインターフェイスへのアクセスを制御します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

アクセス リストの設定を表示します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

インターフェイスGigabit Ethernet 0/2にアクセス リスト2を適用し、このインターフェイスに入ってくるパケットをフィルタリングする例を示します。

Switch(config)# interface gigabitethernet0/2
Router(config-if)# ip access-group 2 in
 

ip access-groupインターフェイス コンフィギュレーション コマンドが有効なのは、管理インターフェイスまたはレイヤ2物理インターフェイスに適用された場合だけです。インターフェイスのポート チャネルにACLを適用することはできません。


着信ACLの場合、スイッチはパケットの受信後、そのパケットをACLと比較して調べます。ACLでパケットが許可されている場合、スイッチはパケットの処理を続けます。ACLでパケットが拒否された場合、スイッチはそのパケットを廃棄します。

インターフェイスに未定義のACLを適用した場合、スイッチはACLがインターフェイスに適用されなかったものとして、すべてのパケットを許可します。ネットワーク セキュリティで未定義のACLを使用する場合は、この動作に注意してください。

ACL情報の表示

スイッチ上で設定されているACLを表示できます。また、物理インターフェイスおよび管理インターフェイスに適用されたACLを表示できます。ここでは、次の事項について説明します。

「ACLの表示」

「アクセス グループの表示」

ACLの表示

show コマンドを使用すると、既存のACLを表示できます。

アクセス リストを表示するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

show access-lists [ number | name ]

すべてのIPおよびMACアドレス アクセス リストまたは特定のアクセス リスト(番号制または名前付き)について情報を表示します。

ステップ 2

show ip access-list [ number | name ]

すべてのIPアドレス アクセス リストまたは特定のIP ACL(番号制または名前付き)について情報を表示します。

すべての標準および拡張ACLを表示する例を示します。

Switch# show access-lists
Standard IP access list 1
permit 172.20.10.10
Standard IP ACL 10
permit 12.12.12.12
Standard IP access list 12
deny 1.3.3.2
Standard IP access list 32
permit 172.20.20.20
Standard IP access list 34
permit 10.24.35.56
permit 23.45.56.34
Extended IP access list 120
Extended MAC access list mac1
 

IPの標準および拡張ACLだけを表示する例を示します。

Switch# show ip access-lists
Standard IP access list 1
permit 172.20.10.10
Standard IP access list 10
permit 12.12.12.12
Standard IP access list 12
deny 1.3.3.2
Standard IP access list 32
permit 172.20.20.20
Standard IP access list 34
permit 10.24.35.56
permit 23.45.56.34
Extended IP access list 120
 

アクセス グループの表示


) この機能を使用できるのは、スイッチでEIが稼働している場合に限られます。


レイヤ3インターフェイスにACLを適用するには、 ip access-group インターフェイス コンフィギュレーション コマンドを使用します。インターフェイス上でIPがイネーブルに設定されている場合、 show ip interface interface-id イネーブルEXECコマンドを使用すると、インターフェイス上の入力および出力アクセス リストとともに、他のインターフェイス特性を表示できます。インターフェイスでIPがイネーブルになっていない場合、アクセス リストは表示されません。

VLAN 1およびインターフェイスGigabit Ethernet 0/2に設定されているすべてのアクセス グループを表示する例を示します。

Switch# show ip interface vlan 1
GigabitEthernet0/2 is up, line protocol is down
Internet address is 10.20.30.1/16
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is permit Any
Inbound access list is 13
 
(テキスト出力は省略)
 
Switch# show ip interface fastethernet0/9
FastEthernet0/9 is down, line protocol is down
Inbound access list is ip1
 

あらゆる状況で確実に、設定されているすべてのアクセス グループを表示するには、 show running-config イネーブルEXECコマンドを使用するのが唯一の方法です。1つのインターフェイスについてACLの設定を表示する場合は、 show running-config interface interface-id コマンドを使用します。

インターフェイスGigabit Ethernet 0/1のACL設定を表示する例を示します。

Switch# show running-config interface gigabitethernet0/1
Building configuration...
 
Current configuration :112 bytes
!
interface GigabitEthernet0/1
ip access-group 11 in
snmp trap link-status
no cdp enable
end!

ACLの設定例

ACL設定の詳細については、『Security Configuration Guide』および『 Cisco IOS IP and IP Routing Configuration Guide for IOS Release 12.1 』の「IP Services」を参照してください。

図 25-2は、スイッチのスタックをシスコ ルータに接続し、ネットワークで結んだ小規模なオフィスの例です。ホストはWANリンクを使用し、インターネットを介してネットワークに接続されています。

次の目的で、スイッチのACLを使用します。

標準ACLを作成し、アドレス172.20.128.64の特定のインターネット ホストからのトラフィックをフィルタリングします。

拡張ACLを作成し、トラフィックのフィルタリングによって、すべてのインターネット ホストに対するHTTPアクセスを拒否し、他のあらゆるタイプのアクセスを許可します。

図 25-2 スイッチACLによるトラフィックの制御

 

標準ACLを使用して、アドレス172.20.128.64の特定のインターネット ホストへのアクセスを許可する例を示します。

Switch(config)# access-list 6 permit 172.20.128.64 0.0.0.0
Switch(config)# end
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 6 in
 

拡張ACLを使用して、ポート80(HTTP)からのトラフィックを拒否する例を示します。他のタイプのトラフィックはすべて許可されます。

Switch(config)# access-list 106 deny tcp any any eq 80
Switch(config)# access-list 106 permit ip any any
Switch(config)# interface gigabitethernet0/2
Switch(config-if)# ip access-group 106 in
 

番号制ACLの例

次の例では、スイッチはネットワーク36.0.0.0のサブネット上のアドレスを受け入れ、56.0.0.0のサブネットからのパケットをすべて拒否します。さらに、ギガビット イーサネット インターフェイス0/1へ届いたパケットにACLを適用します。

Switch(config)# access-list 2 permit 36.0.0.0 0.255.255.255
Switch(config)# access-list 2 deny 56.0.0.0 0.255.255.255
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 2 in
 

拡張ACLの例

次に示す拡張ACLの使用例では、ネットワークがインターネットに接続されていて、ネットワーク上のあらゆるホストがインターネット上のあらゆるホストに、TCP TelnetおよびSMTP接続できるようにします。

Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 eq 23
Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 eq 25
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 102 in
 

SMTPは、接続の一端でTCPポート25を使用し、もう一端ではランダムなポート番号を使用します。接続が有効な間は常に、同じポート番号が使用されます。インターネットからのメール パケットは、宛先ポートが25です。スイッチの背後のセキュリティ システムが常にポート25のメール接続を受け付けるので、着信サービスが制御されます。

名前付きACLの例

marketing_groupのACLにより、宛先アドレスおよびワイルドカード171.69.0.0 0.0.255.255へのあらゆるTCP Telnetトラフィックが許可され、それ以外のTCPトラフィックは拒否されます。他のIPトラフィックは許可されます。

Switch(config)# ip access-list extended marketing_group
Switch(config-ext-nacl)# permit tcp any 171.69.0.0 0.0.255.255 eq telnet
Switch(config-ext-nacl)# deny tcp any any
Switch(config-ext-nacl)# permit ip any any
 

ACLが適用されて、ポートGigabit Ethernet 0/1が許可されます。このポートはレイヤ2ポートとして設定されています。さらに、marketing_group ACLが着信トラフィックに適用されます。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group marketing_group in
...
 

コメント付きIP ACEエントリの例

次の番号制ACLの例では、Jonesのワークステーションにアクセスを許可し、Smithのワークステーションにはアクセスを許可しません。

Switch(config)# access-list 1 remark Permit only Jones workstation through
Switch(config)# access-list 1 permit 171.69.2.88
Switch(config)# access-list 1 remark Do not allow Smith workstation through
Switch(config)# access-list 1 deny 171.69.3.13
 

次の番号制ACLの例では、WinterおよびSmithのワークステーションに対して、Webブラウジングが許可されません。

Switch(config)# access-list 100 remark Do not allow Winter to browse the web
Switch(config)# access-list 100 deny host 171.69.3.85 any eq www
Switch(config)# access-list 100 remark Do not allow Smith to browse the web
Switch(config)# access-list 100 deny host 171.69.3.13 any eq www
 

次の名前付きACLの例では、Jonesのサブネットはアクセスが許可されません。

Switch(config)# ip access-list standard prevention
Switch(config-std-nacl)# remark Do not allow Jones subnet through
Switch(config-std-nacl)# deny 171.69.0.0 0.0.255.255
 

次の名前付きACLの例では、Jonesのサブネットに発信Telnetの使用が許可されません。

Switch(config)# ip access-list extended telnetting
Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out
Switch(config-ext-nacl)# deny tcp 171.69.0.0 0.0.255.255 any eq telnet