-
Catalyst 3550 マルチレイヤ スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)SEC
-
はじめに
-
概要
-
CLIの使用方法
-
スイッチのIPアドレスおよび デフォルト ゲートウェイの割り当て
-
IE2100 CNSエージェントの設定
-
スイッチのクラスタ設定
-
スイッチの管理
-
スイッチベースの認証の設定
-
IEEE 802.1Xポートベースの認証の設定
-
インターフェイス特性の設定
-
SmartPortマクロの設定
-
VLANの設定
-
VTPの設定
-
音声VLANの設定
-
IEEE 802.1Qおよびレイヤ2プロトコ ル トンネリングの設定
-
STPの設定
-
MSTPの設定
-
オプションのスパニングツリー機能の 設定方法
-
DHCP機能の設定
-
ダイナミックARP検査の設定
-
IGMPスヌーピングおよびMVRの設定
-
ポートベースのトラフィック制御の 設定
-
CDPの設定
-
UDLDの設定
-
SPANおよび RSPANの設定
-
RMONの設定
-
システム メッセージ ロギングの設定
-
SNMPの設定
-
ACLによるネットワーク セキュリティ の設定
-
QoSの設定
-
EtherChannelの設定
-
IPユニキャスト ルーティングの設定
-
HSRPの設定
-
WCCPによるWebキャッシュ サービ スの設定
-
IPマルチキャスト ルーティングの設定
-
MSDPの設定
-
代替ブリッジングの設定
-
トラブルシューティング
-
サポートされているMIB
-
Cisco IOSファイル システム、 コンフィギュレーション ファイル、 およびソフトウェア イメージの操作
-
Cisco IOS Release 12.2(25)SECで サポートされていないCLIコマンド
-
索引
-
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章 , ドキュメント全体
目次
分割されたトラフィックおよび分割されていないトラフィックの処理
ACLによるネットワーク セキュリティの設定
この章では、Access Control List(ACL;アクセス制御リスト)を使用して、Catalyst 3550スイッチにネットワーク セキュリティを設定する方法について説明します。ACLは、コマンドやテーブルではaccess-list(アクセス リスト)と表します。
この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンス、『 Cisco IOS IP Configuration Guide 』Release 12.2の「IP Addressing and Service」の章にある「Configuring IP Services」、および次のソフトウェア コンフィギュレーション コマンド リファレンスを参照してください。
•
『 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services』Release 12.2
•
•
•
•
(注) スイッチで使用できるセキュリティAccess Control Entry(ACE;アクセス制御エントリ)数が最大になるようにシステム リソースを割り当てるには、sdm prefer accessグローバル コンフィギュレーション コマンドを使用して、Switch Database Management(SDM)機能をアクセス テンプレートに設定します。SDMテンプレートの詳細については、「ユーザが選択した機能に対するシステム リソースの最適化」を参照してください。設定に合わせたリソース使用方法の判別については、「ACLリソースの利用率および設定問題の表示」を参照してください。
ACLの概要
パケット フィルタリングを使用すると、ネットワーク トラフィックを制限したり、特定のユーザやデバイスによるネットワークの使用を制限できます。ACLはルータを通過するトラフィックをフィルタリングし、特定のインターフェイスでパケットを許可、または、拒否します。ACLは、パケットに適用される許可および拒否条件を順番に並べたものです。インターフェイスにパケットが着信すると、スイッチはパケットのフィールドを該当するACLと比較し、ACLで指定されている条件に基づいて、パケットに対して転送が許可されているかどうかを検証します。パケットは、アクセス リスト内の条件に対して1つずつテストされます。最初に見つかった一致条件によって、パケットが許可されるか、または拒否されるかが決まります。スイッチは、最初の一致が見つかるとテスト環境を終了するので、アクセス リスト内の条件の順序が重要となります。一致する条件がない場合、パケットは拒否されます。制約がない場合、スイッチはパケットを転送し、制約がある場合はパケットを廃棄します。
従来、スイッチはレイヤ2でのみ稼働し、VLAN(仮想LAN)内でトラフィックをスイッチングしていました。一方、ルータはVLAN間でトラフィックをルーティングしていました。Catalyst 3550スイッチは、レイヤ3スイッチングを使用してVLAN間のパケット ルーティングを高速化します。スイッチでブリッジングされたパケットは、外部ルータに送信されずに内部ルーティングされ、再度ブリッジングされて宛先に送信されます。スイッチはこのプロセス中に、VLAN内でブリッジングされるパケットを含め、スイッチングされるすべてのパケットのアクセスを制御します。
ネットワークに基本的なセキュリティを導入する場合は、ルータまたはスイッチにアクセス リストを設定します。ACLを設定しないと、スイッチを通過するすべてのパケットが、ネットワーク内のすべての場所に転送されることがあります。ACLを使用すると、ネットワークの場所ごとにアクセス可能なホストを制御したり、ルータ インターフェイスで転送またはブロックされるトラフィックの種類を決定できます。たとえば、電子メール トラフィックの転送を許可して、Telnetトラフィックの転送を禁止することが可能です。ACLが着信トラフィック、発信トラフィック、またはその両方をブロックするように設定することもできます。ただし、レイヤ2インターフェイスでは、ACLを適用できるのは着信方向だけです。
ACLにはACEが順番に記述されています。各ACEは、許可( permit )または拒否( deny )、およびACEと一致するために要求されるパケットの必須条件を指定します。 許可 または 拒否 の意味は、ACLの使用状況に応じて変わります。
•
•
サポートされるACL
このスイッチは、トラフィックをフィルタリングするため、次に示す3種類のACLをサポートします。
•
•
•
同じスイッチでルータACLとVLANマップを両方使用できます。ただし、入力ルータACLまたはVLANマップが設定されているスイッチでポートACLを使用することはできません。
•
•
IEEE 802.1Qトンネリングがインターフェイス上に設定されている場合、このトンネル ポートで受信されたIEEE 802.1Qカプセル化IPパケットをMAC ACLでフィルタリングすることは可能ですが、IP ACLではフィルタリングできません。スイッチはIEEE 802.1Qヘッダー内のプロトコルを認識できないためです。この制約は、ルータACL、ポートACL、VLANマップに適用されます。IEEE 802.1Qトンネリングの詳細については、「IEEE 802.1Qおよびレイヤ2プロトコル トンネリングの設定」を参照してください。
このスイッチは、Quality of Service(QoS;サービス品質)分類ACLもサポートしています。詳細については、「QoS ACLに基づく分類」を参照してください。
ルータACL
VLANへのレイヤ3インターフェイスであるSwitch Virtual Interface(SVI)、物理レイヤ3インターフェイス、およびレイヤ3 EtherChannelインターフェイスに、ルータACLを適用できます。ルータACLはインターフェイスの特定の方向(着信または発信)に対して適用されます。各方向に1つずつIPアクセス リストを適用できます。
1つのACLをある特定インターフェイスの複数の機能に使用できます。また、1つの機能に複数のACLを使用することもできます。1つのルータACLを複数の機能で使用する場合、そのルータACLは複数回テストされます。
•
•
スイッチは、特定のインターフェイスおよび方向に対して設定された機能に関連付けられているACLをテストします。パケットがスイッチのインターフェイスに着信すると、そのインターフェイスに設定されているすべての着信機能に対応するACLがテストされます。パケットがルーティングされてからネクスト ホップに転送されるまでの間に、出力インターフェイスに設定された発信機能に対応するすべてのACLがテストされます。
ACLは、ACL内のエントリとの一致結果に基づいて、転送を許可または拒否します。たとえば、アクセス リストを使用すると、ネットワークの特定の場所へのアクセスを特定のホストに許可し、別のホストにはアクセスを禁止できます。図28-1では、ルータへの入力に適用されているACLにより、ホストAは人事部ネットワークへのアクセスを許可されますが、ホストBは拒否されます。
ポートACL
スイッチのレイヤ2インターフェイスにもACLを適用できます。ポートACLを使用できるのは、物理インターフェイスだけです。EtherChannelインターフェイスでは使用できません。ポートACLをインターフェイスに適用できるのは、着信方向に対してのみです。レイヤ2インターフェイスでは、次のアクセス リストがサポートされています。
•
•
ルータACLと同様、スイッチはインターフェイスに設定されている機能に関連付けられているACLをテストし、パケットがACL内のエントリと一致するかどうかによって、パケットの転送を許可または拒否します。ただし、レイヤ2インターフェイスで、ACLを適用できるのは、着信方向に対してのみです。図28-1の例では、すべてのワークステーションが同じVLAN内にある場合、レイヤ2の入力に適用されているACLによって、ホストAは人事部ネットワークへのアクセスを許可されますが、ホストBは同じネットワークへのアクセスを拒否されます。
ポートACLをトランク ポートに適用すると、そのトランク ポートにあるすべてのVLANでACLによるトラフィックのフィルタリングが実行されます。音声VLANがあるポートにポートACLを適用すると、データVLANと音声VLANの両方でそのACLによるトラフィックのフィルタリングが実行されます。
ポートACLを使用すると、IPアクセス リストを使用してIPトラフィックをフィルタリングし、MACアドレスを使用して非IPトラフィックをフィルタリングできます。同じレイヤ2インターフェイスにIPアクセス リストとMACアクセス リストを両方適用すると、そのレイヤ2インターフェイスでIPトラフィックと非IPトラフィックをフィルタリングできます。
(注) 1つのレイヤ2インターフェイスに適用できるのは、IPアクセス リスト1つとMACアクセス リスト1つだけです。すでにIPアクセス リストとMACアクセス リストが1つずつ設定されているレイヤ2インターフェイスに、新しいIPアクセス リストまたはMACアクセス リストを適用すると、新しいACLが前に設定したACLに置き換わります。
VLANマップ
VLANマップを使用すると、 すべての トラフィックのアクセスを制御できます。VLANの内部や外部へルーティングされる、またはVLAN内でブリッジングされる すべてのパケット に対して、スイッチのVLANマップを適用できます。VLANマップはパケットを安全にフィルタリングするために必ず使用されます。ルータACLと異なり、VLANマップで方向(着信または発信)は定義されません。
VLANマップを設定すると、IPトラフィックのレイヤ3アドレスを比較できます。すべての非IPプロトコルは、MAC VLANマップを使用してMACアドレスおよびEtherTypeによってアクセス制御されます(IPトラフィックには、MAC VLANマップによるアクセス制御が 行われません )。VLANマップはスイッチを通過するパケットにのみ適用できます。ハブのホスト間、またはこのスイッチに接続された別のスイッチのホスト間を通過するトラフィックには、VLANマップを適用できません。
VLANマップを使用すると、パケットの転送はマップに指定されたアクションに基づいて許可または拒否されます。図28-2に、VLANマップを適用して、特定タイプのトラフィックをVLAN 10のホストAから転送できないように設定する例を示します。
分割されたトラフィックおよび分割されていないトラフィックの処理
ネットワークを通過するIPパケットは分割できます。IPパケットを分割すると、パケットの先頭を含むフラグメントにのみ、TCP、UDPポート番号、ICMPタイプおよびコードなどのレイヤ4情報が格納されます。その他のすべてのフラグメントには、この情報が格納されません。
一部のACEではレイヤ4情報が確認されないため、このようなACEはすべてのパケット フラグメントに適用されます。レイヤ4情報をテストするACEを、分割されたIPパケットのほとんどのフラグメントに通常の方法で適用することはできません。レイヤ4情報が格納されていないフラグメントに対してレイヤ4情報がテストされる場合、一致規則は次のように変更されます。
•
•
次のコマンドで設定し、3つの分割パケットに適用されるaccess-list 102の例を以下に示します。
(注) この例の最初の2つのACEでは、宛先アドレスの後ろにeqキーワードが指定されています。これは、TCP宛先ポートのうち、Simple Mail Transfer Protocol(SMTP)およびTelnetそれぞれに対応するwell-known番号についてテストすることを示します。
•
•
最初のフラグメントが拒否されているため、ホスト10.1.1.2は完全なパケットを再構築できません。したがって、実際にはパケットBは拒否されます。ただし、ホスト10.1.1.2がパケットを再構築しようとするとき、許可されたフラグメントによってネットワーク帯域幅とこのホストのリソースが消費されます。
•
IP ACLの設定
レイヤ2またはレイヤ3スイッチ、あるいはVLANインターフェイス上にIP ACLを設定する方法は、他のシスコ製ルータ上にACLを設定する方法と同じです。その手順を簡単に示します。ルータACLの設定の詳細については、『 Cisco IOS IP Configuration Guide 』Release 12.2の「IP Addressing and Services」の章にある「Configuring IP Services」を参照してください。コマンドの詳細については、次のマニュアルを参照してください。
•
•
•
Catalyst 3550スイッチでサポートされないIOS機能については、「サポートされない機能」を参照してください。
注意 デフォルトでは、パケットがアクセス グループによって拒否されると、ルータはICMP到達不能メッセージを送信します。アクセス グループによって拒否されたパケットは、ハードウェア内で廃棄されずにスイッチのCPUにブリッジングされ、そこでICMP到達不能メッセージが生成されます。アクセス グループによって拒否されたパケットをハードウェアで廃棄するには、no ip unreachablesインターフェイス コンフィギュレーション コマンドを使用し、ICMP到達不能をディセーブルにする必要があります。ip unreachablesコマンドは、デフォルトでイネーブルに設定されています。
•
ルータACLのハードウェアおよびソフトウェア処理
ACLは主にハードウェアで処理されますが、一部のトラフィックはCPUに転送してソフトウェア処理する必要があります。ソフトウェアで転送されるトラフィックの転送速度は、ハードウェアで転送されるトラフィックに比べて大幅に低下します。両方のトラフィック フローをロギングして転送する場合、転送はハードウェアで処理されますが、ロギングはソフトウェアで処理する必要があります。ハードウェアとソフトウェアではパケット処理機能が異なるため、ロギング中であるすべてのフロー(許可フローと拒否フロー)の合計帯域幅が非常に大きい場合は、転送されたパケットの一部をロギングできません。
•
•
ACLによって多数のパケットがCPUに転送されると、スイッチのパフォーマンスが低下することがあります。
(注) ACL設定が指定されたインターバル内で安定した状態になると、システムは設定をハードウェアにロードします。ハードウェアのアップデート中は、影響を受けるすべてのインターフェイスで転送がブロックされます。この動作を変更する場合は、mls aclmerge delayおよびaccess-list hardware program nonblockingグローバル コンフィギュレーション コマンドを使用します。これらのコマンドの詳細については、このリリースのコマンド リファレンスを参照してください。
show ip access-lists イネーブルEXECコマンドを入力したときに表示される一致の個数に、ハードウェアでアクセス制御されるパケットは含まれません。ハードウェアでACL処理されるスイッチド パケットおよびルーテッド パケットの基本的な統計情報を取得する場合は、show access-lists hardware countersイネーブルEXECコマンドを使用します。
•
•
•
(注) レイヤ2インターフェイス(ポートACL)のロギングはサポートされません。
入力ルータACL設定時の注意事項
入力ルータACLでは、ACLが適用されるとTCAMエントリ数を大幅に増加できます。TCAMエントリ数が、割り当てられたリソース数を超える場合、ACLフィルタリングはハードウェアの代わりにソフトウェアで実行されてパフォーマンスの低下を招くことがあります。
•
•
•
入力ルータACLが適用されると、ACLは、ルーティング プロトコル パケットと比較し、パケットをプロトコル キューへ送信する暗黙的なACLと自動的に統合されます。この統合により、TCAMエントリが追加されます。エントリ数を最小限にするには、ACLの最初でACEを許可または拒否するよう設定することによって、RIP、EIGRP、OSPF、BGP、PIMなどのルーティング プロトコルを明示的に許可または拒否するようルータACLを設定できます。
サポートされない機能
Catalyst 3550スイッチは、次のCisco IOSルータACL関連機能をサポートしません。
•
•
•
標準および拡張IP ACLの作成
ここでは、ルータIP ACL作成手順の概要を示します。ACLは許可および拒否条件を順に並べたものです。パケットは、アクセス リスト内の条件に対して1つずつテストされます。最初に見つかった一致条件によって、パケットが許可されるか、または拒否されるかが決まります。最初の一致が見つかるとテストは終了するので、条件の順序が重要となります。一致する条件がない場合、パケットは拒否されます。
ステップ 1
ステップ 2
ソフトウェアは次に示す形式のACL、またはIPのアクセス リストをサポートします。
•
•
アクセス リスト番号
ACLを表す番号は、作成しているアクセス リストのタイプを示します。 表28-1 に、アクセス リスト番号および対応するアクセスリスト タイプ、スイッチでのアクセス リストに対するサポートの有無を示します。スイッチでは、IP標準およびIP拡張アクセス リストがサポートされています(番号は1~199、1300~2699)。
(注) 番号指定の標準ACLおよび拡張ACL以外に、サポートされている番号を使用して名前指定の標準IP ACLおよび拡張IP ACLを作成することもできます。つまり、標準IP ACLの名前には1~99を、拡張IP ACLの名前には100~199を使用できます。番号指定のACLではなく名前指定のACLを使用することで、名前指定リストから個別にエントリを削除することが可能となります。
番号指定標準ACLの作成
番号指定の標準ACLを作成するには、イネーブルEXECモードで次の手順を実行します。
ACL全体を削除するには、 no access-list access-list-number グローバル コンフィギュレーション コマンドを使用します。番号指定のアクセス リストからは、ACEを個別に削除できません。
(注) ACLを作成するときは、ACLの末尾に暗黙的な拒否ステートメントがデフォルトで存在し、それ以前のステートメントで一致が見つからなかったすべてのパケットに適用されることに注意してください。標準ACLでは、対応するIPホスト アドレスのACLを指定するときにマスクを省略すると、0.0.0.0がマスクとして使用されます。
次に、IPホスト171.69.198.102へのアクセスを拒否してそれ以外のアドレスへのアクセスを許可してその結果を表示する標準ACLの作成例を示します。
host 一致条件が指定されたエントリ、および0.0.0.0の無視( don't care )マスクが指定されたエントリが、リストの先頭(ゼロ以外の無視マスクが指定された、すべてのエントリの上)に来るように、標準アクセス リストの順序が書き換えられます。したがって、 show コマンドの出力およびコンフィギュレーション ファイルで、ACEは必ずしも入力した順番に表示されません。
標準IPアクセス リストによって許可または拒否されたパケットに関するログ メッセージが、スイッチのソフトウェアによって表示されます。つまり、ACLと一致するパケットがあった場合は、そのパケットに関するログ通知メッセージがコンソールに送信されます。コンソールにロギングされるメッセージのレベルは、Syslogメッセージを制御するロギング コンソール コマンドで制御されます。
(注) ルーティングはハードウェアで、ロギングはソフトウェアで実行されます。したがって、logキーワードを含む許可(permit)または拒否(deny)ACEと一致するパケットが多数存在する場合、ソフトウェアはハードウェアの処理速度に追いつくことができないため、一部のパケットはロギングされません。
ACLを起動した最初のパケットについては、ログ メッセージがすぐに表示されますが、それ以降のパケットについては、5分間の収集時間が経過してから表示またはロギングされます。ログ メッセージにはアクセス リスト番号、パケットの許可または拒否に関する状況、パケットの送信元IPアドレス、および直前の5分間に許可または拒否された送信元からのパケット数が示されます。
(注) 出力ACLはマルチキャスト パケットをロギングできません。レイヤ2インターフェイスに適用されたACLのロギングはサポートされません。
作成したACLを、回線またはインターフェイスに適用する必要があります(インターフェイスまたは端末回線へのIP ACLの適用を参照)。
番号指定拡張ACLの作成
標準ACLの場合、一致基準には送信元アドレスのみが使用されますが、拡張ACLの場合は、一致処理に送信元アドレスおよび宛先アドレスを使用したり、オプションのプロトコル タイプ情報を使用したりして、より細部にわたる制御を行うことができます。番号指定の拡張ACLを作成したあとにACEを新たに作成するときは、リストの末尾に新しいACEが配置されることに注意してください。リストを再び並べ替えたり、番号が指定されたACLの特定の位置でACEを追加または削除することはできません。
一部のプロトコルには、専用のパラメータおよびキーワードを使用することもできます。
拡張ACLでは、次のIPプロトコルがサポートされています(プロトコル キーワードは括弧内の太字で示しています)。
Authentication Header Protocol( ahp )、Enhanced Interior Gateway Routing Protocol( eigrp )、Encapsulation Security Payload( esp )、Generic Routing Encapsulation( gre )、ICMP( icmp )、IGMP( igmp )、Interior Gateway Routing Protocol( igrp )、任意のInterior Protocol( ip )、IP in IPトンネリング( ipinip )、KA9Q NOS互換IP over IPトンネリング( nos )、Open Shortest Path Firstルーティング( ospf )、Payload Compression Protocol( pcp )、Protocol Independent Multicast( pim )、TCP( tcp )、またはUDP( udp )
(注) ICMPエコー応答はフィルタリングできません。他のすべてのICMPコードまたはタイプはフィルタリング可能です。
各プロトコルに関連するキーワードの詳細については、次のソフトウェア コンフィギュレーション ガイドおよびコマンド リファレンスを参照してください。
•
•
•
(注) スイッチで、ダイナミック アクセス リストや再帰アクセス リストはサポートされません。また、最小コストのType of Service(ToS;サービス タイプ)ビットに基づくフィルタリングもサポートされません。
サポートされているパラメータは、TCP、UDP、ICMP、IGMP、または他のIPの、いずれかのカテゴリにグループ分けできます。
拡張ACLを作成するには、イネーブルEXECモードで次の手順を実行します。
access-list access-list-number
{ deny | permit } protocol
source source-wildcard
destination destination-wildcard [ precedence precedence ]
[ tos tos ] [ fragments ] [ log ] [ log-input ] [ time-range time-range-name ] [ dscp dscp ]
(注) dscp値を入力した場合、tosまたはprecedenceを入力することはできません。dscpを入力しない場合は、tosとprecedenceを両方とも入力できます。
access-list-number は100~199または2000~2699の10進数です。
条件が一致する場合にパケットを拒否するか許可するかを指定するため、 deny または permit を入力します。
protocol を指定する場合は、IPプロトコルの名前または番号を入力します。 ahp 、 eigrp 、 esp 、 gre 、 icmp 、 igmp 、 igrp 、 ip 、 ipinip 、 nos 、 ospf 、 pcp 、 pim 、 tcp 、 udp 、IPプロトコル番号を表す0~255の整数を使用できます。すべてのインターネット プロトコル(ICMP、TCP、UDPを含む)と一致させる場合は、キーワード ip を使用します。
(注) このステップには、ほとんどのIPプロトコルに使用可能なオプションが含まれます。TCP、UDP、ICMP、IGMPの具体的なパラメータについては、ステップ2b~2eを参照してください。
source はパケットの送信元であるネットワークまたはホストの番号です。
destination-wildcard を指定すると、宛先にワイルドカード ビットが適用されます。
source、source-wildcard、destination、destination-wildcardは、次の3つの方法で指定できます。
•
•
•
•
•
•
•
access-list access-list-number { deny | permit } protocol any any [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [log-input] [ time-range time-range-name ] [ dscp dscp ]
アクセス リスト コンフィギュレーション モードで、送信元と送信元ワイルドカードの値0.0.0.0 255.255.255.255の短縮形を使用するか、または宛先と宛先ワイルドカードの値0.0.0.0 255.255.255.255の短縮形を使用し、拡張IPアクセス リストを定義します。
access-list access-list-number { deny | permit } protocol
host source host destination [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [ log-input ] [ time-range time-range-name ] [ dscp dscp ]送信元と送信元ワイルドカードの値 source 0.0.0.0の短縮形を使用するか、または宛先と宛先ワイルドカードの値 destination 0.0.0.0の短縮形を使用し、拡張IPアクセス リストを定義します。
access-list access-list-number
{ deny | permit } tcp source source-wildcard [ operator port ] destination destination-wildcard [ operator port ] [ established ] [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [ log-input ] [ time-range time-range-name ] [ dscp dscp ] [ flag ](任意)拡張TCPアクセス リストおよびアクセス条件を定義します。
次に示す例外を除き、ステップ2aで説明するパラメータと同じパラメータを使用します。
(任意) operator および port を入力すると、送信元ポート( source source-wildcard のあとに入力した場合)または宛先ポート( destination destination-wildcard のあとに入力した場合)が比較されます。使用可能な演算子は eq (一致)、 gt (より大きい)、 lt (未満)、 neq (不一致)、 range (包含範囲)などです。演算子にはポート番号を指定する必要があります( range の場合は2つのポート番号をスペースで区切って指定する必要があります)。
port にポート番号を10進数(0~65535)として入力するか、またはTCPポート名を入力します。TCPポート名を確認するには、?を使用するか、『 Cisco IOS IP Configuration Guide 』Release 12.2の「IP Addressing and Services」の章にある「Configuring IP Services」を参照してください。TCPをフィルタリングするときは、TCPポートの番号または名前のみを使用します。
•
•
access-list access-list-number
{ deny | permit } udp
source source-wildcard [ operator port ] destination destination-wildcard [ operator port ] [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [log-input] [ time-range time-range-name ] [ dscp dscp ](任意)拡張UDPアクセス リストおよびアクセス条件を定義します。
UDPパラメータはTCPに関して説明されているパラメータと同じです。ただし、[ operator [ port ]]ポート番号またはポート名は、UDPポートの番号または名前とします。UDPの場合、 flag および established パラメータは無効です。
access-list access-list-number
{ deny | permit } icmp source source-wildcard destination destination-wildcard [ icmp-type | [[ icmp-type icmp-code ] | [icmp-message] ] [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [log-input] [ time-range time-range-name ] [ dscp dscp ](任意)拡張ICMPアクセス リストおよびアクセス条件を定義します。
ICMPパラメータはステップ2aのIPプロトコルで説明されているパラメータと同じですが、ICMPメッセージ タイプとコード パラメータが追加されています。オプションのキーワードは次の意味をもちます。
•
•
•
access-list access-list-number
{ deny | permit } igmp source source-wildcard destination destination-wildcard [ igmp-type ] [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [log-input] [ time-range time-range-name ] [ dscp dscp ](任意)拡張IGMPアクセス リストおよびアクセス条件を定義します。
IGMPパラメータはステップ2aのIPプロトコルで説明されているパラメータと同じですが、次に示すパラメータが追加されています。
igmp-type ― IGMPメッセージ タイプと比較するには、0~15の番号またはメッセージ名( dvmrp 、 host-query 、
host-report 、 pim 、または trace )を入力します。アクセス リスト全体を削除するには、 no access-list access-list-number グローバル コンフィギュレーション コマンドを使用します。番号指定のアクセス リストからは、ACEを個別に削除できません。
次に、ネットワーク171.69.198.0内の任意のホストからネットワーク172.20.52.0内の任意のホストへのTelnetアクセスを拒否し、それ以外のアドレスへのアクセスを許可する拡張アクセス リストを作成、表示する例を示します( eq キーワードを宛先アドレスのあとに指定すると、Telnetに対応するTCP宛先ポート番号がテストされます)。
Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
Switch(config)# access-list 102 permit tcp any any
ACLが作成されたあとに追加されたACE(端末から入力されたACEなど)は、リストの末尾に配置されます。番号が指定されたアクセス リストの特定の位置でACEを追加または削除することはできません。
(注) ACLを作成するときは、アクセス リストの末尾に暗黙的な拒否ステートメントがデフォルトで存在し、それ以前のステートメントで一致が見つからなかったすべてのパケットに適用されることに注意してください。
作成したACLを、回線またはインターフェイスに適用する必要があります(インターフェイスまたは端末回線へのIP ACLの適用を参照)。
ACLでのACEの再シーケンス
Cisco IOS Release 12.2(18)SE以降では、アクセス リスト内のエントリのシーケンス番号は新しいACLを作成するときに自動的に生成されます。 ip access-list resequence グローバル コンフィギュレーション コマンドを使用してACLのシーケンス番号を編集してACEが適用される順番を変更できます。たとえば、新しいACEをACLに追加した場合、リストの最後に追加されます。シーケンス番号を変更することで、ACEをACLの別の位置に移動できます。
ip access-list resequence コマンドの詳細については、次のURLを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122s/122snwft/release/122s14/fsaclseq.htm
名前指定の標準および拡張IP ACLの作成
IP ACLは、番号でなく英数字(名前)で指定することもできます。名前指定のACLを使用すると、番号指定のアクセス リストを使用する場合よりも多くのIPアクセス リストをスイッチに設定できます。アクセス リストを番号でなく名前で指定する場合は、モードおよびコマンド構文が若干異なります。ただし、IPアクセス リストを使用するすべてのコマンドで、名前指定のアクセス リストを使用できるとは限りません。
(注) 標準または拡張ACLに指定する名前には、サポートされているアクセス リスト番号範囲内の番号を指定することもできます。つまり、標準IP ACLの名前には1~99を、拡張IP ACLの名前には100~199を使用できます。番号指定ACLではなく名前指定ACLを使用することで、名前指定リストから個別にエントリを削除することが可能となります。
名前指定のACLを設定する前に、次に示す注意事項および制限事項を考慮してください。
•
•
•
•
名前を使用して標準ACLを作成するには、イネーブルEXECモードで次の手順を実行します。
名前指定の標準ACLを削除するには、 no ip access-list standard name グローバル コンフィギュレーション コマンドを使用します。
名前を使用して拡張ACLを作成するには、イネーブルEXECモードで次の手順を実行します。
名前を使用して拡張IPアクセス リストを定義し、アクセス リスト コンフィギュレーション モードを開始します。
{ deny | permit } protocol { source [ source-wildcard ] | host source | any } { destination [ destination-wildcard ] | host destination | any } [ precedence precedence ] [ tos tos ] [ established ] [ log ] [ time-range time-range-name ]
アクセスリスト コンフィギュレーション モードで、許可または拒否の条件を指定します。 log キーワードを使用すると、違反を含むアクセス リストのログ メッセージを取得できます。
プロトコルおよびその他キーワードの定義については、「番号指定拡張ACLの作成」を参照してください。
•
•
•
(注) レイヤ2インターフェイスに適用されたACL(ポートACL)に関して、logキーワードはサポートされません。
名前指定の拡張ACLを削除するには、 no ip access-list extended name グローバル コンフィギュレーション コマンドを使用します。
標準または拡張ACLを作成するときは、ACLの末尾に暗黙的な拒否ステートメントがデフォルトで存在し、それ以前のステートメントで一致が見つからなかったすべてのパケットに適用されることに注意してください。標準ACLでは、対応するIPホスト アドレスのアクセス リストを指定するときにマスクを省略すると、0.0.0.0がマスクとして使用されます。
ACLを作成したあとに追加されたACEは、リストの末尾に配置されます。特定のACLでは選択的にACLエントリを追加することはできません。ただし、 no permit および no deny アクセスリスト コンフィギュレーション モード コマンドを使用すると、名前指定のACLからエントリを削除できます。次に、名前指定のアクセス リスト border-list からACEを個別に削除する例を示します。
番号指定のACLではなく、名前指定のACLを使用することで、名前指定のACLから行を個別に削除することが可能となります。
作成したACLを、回線またはインターフェイスに適用する必要があります(インターフェイスまたは端末回線へのIP ACLの適用を参照)。
ACLでの時間範囲の使用法
曜日および時刻に基づいて拡張ACLを選択的に適用するには、 time-range グローバル コンフィギュレーション コマンドを使用します。最初に時間範囲の名前を定義し、時間範囲の時刻、日付、または曜日を設定します。次に、ACLを適用するときに時間範囲名を入力し、アクセス リストに制限を適用します。時間範囲を使用することで、ACLの許可ステートメントまたは拒否ステートメントが有効な時期(指定期間内、指定曜日など)を定義できます。 time-range キーワードおよび引数については、前述の「標準および拡張IP ACLの作成」および「名前指定の標準および拡張IP ACLの作成」に記載されている、名前指定および番号指定の拡張ACLに関するタスク表を参照してください。
•
•
(注) 時間範囲には、スイッチのシステム クロックが使用されるため、信頼できるクロック ソースが必要です。スイッチ クロックを同期するには、Network Time Protocol(NTP)を使用してください。詳細については、「システム日時の管理」を参照してください。
ACLのtime-rangeパラメータを設定するには、イネーブルEXECモードで次の手順を実行します。
設定された時間範囲の制限を削除するには、 no time-range time-range-name グローバル コンフィギュレーション コマンドを使用します。
異なる時刻に機能するように設定する複数の項目がある場合は、このステップを繰り返します。
次に、営業時間( workhours )および会社の休業日として2005年1月1日を表す時間範囲を設定し、その設定を確認する例を示します。
適用される時間範囲に関しては、適用先の拡張ACL内に、時間範囲名を指定して記述する必要があります。次に、定義された休日中に任意の送信元から任意の宛先に送信されるTCPトラフィックを拒否し、営業時間中にすべてのTCPトラフィックを許可する拡張アクセス リスト188を作成、確認する例を示します。
ACLへのコメントの挿入
remark キーワードを使用すると、エントリに関するコメント(備考)を任意のIP標準および拡張ACLに追加できます。コメントを追加すると、ACLの把握および走査がより簡単になります。各コメント行には、最大100文字まで入力できます。
コメントは許可ステートメントまたは拒否ステートメントの前後に指定できます。コメントに対応する許可ステートメントまたは拒否ステートメントが明確になるように、コメントの記述位置を統一する必要があります。混乱を避けるため、たとえば、許可ステートメントまたは拒否ステートメントの前に記述されているコメントと、後ろに記述されているコメントが混在しないようにします。
番号指定のIP標準ACLまたは拡張ACLにコメントを追加する場合は、 access-list access-list number remark remark グローバル コンフィギュレーション コマンドを使用します。コメントを削除するには、上記のコマンドの no 形式を使用します。
次の例では、Jonesが所有するワークステーションのアクセスは許可されますが、Smithが所有するワークステーションのアクセスは禁止されます。
名前指定のIP ACLにエントリする場合は、 remark アクセス リスト コンフィギュレーション コマンドを使用します。コメントを削除するには、上記のコマンドの no 形式を使用します。
インターフェイスまたは端末回線へのIP ACLの適用
作成したIP ACLは、1つまたは複数のインターフェイスまたは端末回線に適用できます。レイヤ3インターフェイスには、発信と着信のいずれかのACLを適用できますが、レイヤ2インターフェイスに適用できるのは着信ACLだけです。ここでは、端末回線とネットワーク インターフェイスの両方にアクセス リストを適用する方法について説明します。次の注意事項を考慮してください。
•
•
•
•
•
–
–
•
•
ACL内のアドレスと仮想端末回線との間の着信接続および発信接続を制限するには、イネーブルEXECモードで次の手順を実行します。
設定する特定の回線を指定し、インライン コンフィギュレーション モードを開始します。
•
•
line-number は、連続した一連の番号の最初の回線番号で、回線タイプを指定するときに設定する必要があります。指定できる範囲は0~16です。
端末回線に関するアクセス制限を削除するには、 no access-class access-list-number { in | out }ライン コンフィギュレーション コマンドを使用します。
レイヤ2またはレイヤ3インターフェイスへのアクセスを制御するためにIPアドレス リストを適用するには、イネーブルEXECモードで次の手順を実行します。
IPアクセス リストを使用し、指定したインターフェイスへのアクセスを制御します。標準または拡張のIPアクセス番号または名前を入力できます。
(注) outキーワードは、レイヤ2インターフェイスに対して無効です。ポートACLは、着信方向に関してのみサポートされます。
指定されたアクセス グループを削除するには、 no ip access-group { access-list-number | name } { in | out }インターフェイス コンフィギュレーション コマンドを使用します。
次に、GigabitEthernet 0/3インターフェイスにアクセス リスト2を適用し、インターフェイスに入るパケットをフィルタリングする例を示します。
(注) ip access-groupインターフェイス コンフィギュレーション コマンドをレイヤ3インターフェイス(SVI、レイヤ3 EtherChannel、またはルーテッド ポート)に適用するには、そのインターフェイスにIPアドレスが設定されている必要があります。レイヤ3アクセス グループは、CPUのレイヤ3プロセスによってルーティングまたは受信されるパケットをフィルタリングします。このグループは、VLAN内でブリッジングされるパケットに影響を与えません。
着信ACLの場合、スイッチは受信したパケットをACLと照合します。ACLによってパケットが許可された場合は、パケットの処理が続行されます。拒否された場合、パケットは廃棄されます。
発信ACLの場合(レイヤ3インターフェイスのみ)、スイッチは制御対象インターフェイスに着信し、ルーティングされたパケットをACLと照合します。パケットが許可された場合、パケットは送信されます。拒否された場合、パケットは廃棄されます。
ICMP到達不能メッセージを送信するように設定された入力インターフェイスでパケットが廃棄された場合は、その原因が入力インターフェイスのACLまたは発信インターフェイスのACLのいずれであっても、これらのメッセージが送信されます。ICMP到達不能メッセージは通常、入力インターフェイス1つにつき、0.5秒ごとに1つだけ生成されます。ただし、この設定は ip icmp rate-limit unreachable グローバル コンフィギュレーション コマンドを使用して変更できます。
未定義のACLをインターフェイスに適用すると、スイッチはACLがインターフェイスに適用されていないと判断して処理を行い、すべてのパケットが許可されてしまいます。ネットワーク セキュリティのため、未定義のACLを使用する場合は注意してください。
IP ACLの設定例
ここでは、IP ACLの設定例を示します。ACLの編集の詳細については、『 Cisco IOS Security Configuration Guide 』Release 12.2および『 Cisco IOS IP Configuration Guide 』Release 12.2の「IP Addressing and Services」の章にある「Configuring IP Services」を参照してください。
図28-3に、小規模ネットワークが構築されたオフィス環境を示します。ルーテッド ポート2に接続されたサーバAには、すべての従業員がアクセスできる利益などの情報が格納されています。ルーテッド ポート1に接続されたサーバBには、機密の給与支払いデータが格納されています。サーバAにはすべてのユーザがアクセスできますが、サーバBにアクセスできるユーザは制限されています。
ルータACLを使用して上記のように設定するには、次のいずれかの方法を使用します。
•
•
次の例では、標準ACLを使用してインターフェイスからサーバBに着信するトラフィックをフィルタリングし、経理部の送信元アドレス172.20.128.64~172.20.128.95から送信されるトラフィックのみを許可します。このACLは、指定された送信元アドレスのルーテッド ポート1から送信されるトラフィックに適用されます。
次の例では、拡張ACLを使用してサーバBからポート1に着信するトラフィックをフィルタリングし、任意の送信元アドレス(この場合はサーバB)から経理部の宛先アドレス172.20.128.64~172.20.128.95に送信されるトラフィックのみを許可します。このACLは、ルーテッド ポート1に着信するトラフィックに適用され、指定の宛先アドレスに送信されるトラフィックのみを許可します。拡張ACLを使用する場合は、送信元および宛先情報の前に、プロトコル(IP)を入力する必要があります。
番号指定ACL
次の例のネットワーク36.0.0.0は、2番めのオクテットがサブネットを指定するクラスAネットワークです。つまり、サブネット マスクは255.255.0.0です。ネットワーク36.0.0.0アドレスの3番めおよび4番めのオクテットは、特定のホストを指定します。アクセス リスト2が使用されているため、サブネット48のアドレスが1つ許可され、同じサブネットの他のアドレスはすべて拒否されます。このアクセス リストの最終行は、他のすべてのネットワーク36.0.0.0サブネット上のアドレスが許可されることを示します。このACLは、Gigabit Ethernet 0/1インターフェイスに入るパケットに適用されます。
拡張ACL
次の例の先頭行は、1023よりも大きい宛先ポートへの着信TCP接続を許可します。2番めの行は、ホスト128.88.1.2のSMTPポートへの着信TCP接続を許可します。3番めの行は、エラー フィードバック用の着信ICMPメッセージを許可します。
拡張ACLを使用する別の例として、インターネットに接続されたネットワーク上の任意のホストに、インターネットの任意のホストへのTCP接続を設定する場合を考えます。ただし、IPホストには、専用メール ホストのメール(SMTP)ポートへの接続を除き、ネットワーク上のホストへのTCP接続を設定しないものとします。
SMTPは、接続の一端ではTCPポート25、もう一端ではランダムなポート番号を使用します。接続している間は、同じポート番号が使用されます。インターネットから着信するメール パケットの宛先ポートは25です。発信パケットのポート番号は予約されています。ルータの背後に置かれた安全なシステムでは、常にポート25でのメール接続が使用されているため、着信サービスと発信サービスを個別に制御できます。ACLは発信インターフェイスの入力ACLおよび着信インターフェイスの出力ACLとして設定される必要があります。
次の例では、ネットワークはアドレスが128.88.0.0のクラスBネットワークで、メール ホスト アドレスは128.88.1.2です。 established キーワードは、確立された接続を表示するTCP専用のキーワードです。TCPデータグラムにACKまたはRSTビットが設定され、パケットが既存の接続に属していることが判明すると、一致とみなされます。GigabitEthernet 0/1インターフェイスは、ルータをインターネットに接続するインターフェイスです。
名前指定ACL
次のように設定すると、 internet_filter という名前の標準ACLおよび marketing_group という名前の拡張ACLが作成されます。 internet_filter ACLは、送信元アドレス1.2.3.4から送信されるすべてのトラフィックを許可します。
marketing_group ACLは、宛先アドレスと宛先ワイルドカードの値171.69.0.0 0.0.255.255への任意のTCP Telnetトラフィックを許可し、その他のTCPトラフィックを拒否します。また、任意のICMPトラフィックを許可し、任意の送信元から、宛先ポートが1024より小さい171.69.0.0~179.69.255.255の宛先アドレスへ送信されるUDPトラフィックを拒否します。それ以外のすべてのIPトラフィックは拒否され、結果を示すログが表示されます。
次に示すACLは、レイヤ3ポートとして設定されたGigabitEthernet 0/5ポートに適用されます。 Internet_filter ACLは着信トラフィックに、 marketing_group ACLは発信トラフィックに適用されます。
IP ACLに適用される時間範囲
次の例では、月曜日から金曜日の午前8時~午後6時の間、IPのHTTPトラフィックが拒否されます。UDPトラフィックは、土曜日および日曜日の正午~午後8時の間のみ許可されます。
コメント付きのIP ACLエントリ
次に示す番号指定ACLの例では、Jonesが所有するワークステーションのアクセスは許可されますが、Smithが所有するワークステーションのアクセスは禁止されます。
次に示す番号指定ACLの例では、WinterおよびSmithのワークステーションでのWeb閲覧が禁止されます。
ACLのロギング
ルータACLでは、2種類のロギングがサポートされています。 log キーワードを指定すると、エントリと一致するパケットに関するログ通知メッセージがコンソールに送信されます。 log-input キーワードを指定すると、ログ エントリに入力インターフェイスが追加されます。
次の例では、名前指定の標準アクセス リスト stan1 は10.1.1.0 0.0.0.255からのトラフィックを拒否し、その他のすべての送信元からのトラフィックを許可します。 log キーワードも指定されています。
次に、名前指定の拡張アクセス リスト ext1 によって、任意の送信元から10.1.1.0 0.0.0.255へのICMPパケットを許可し、すべてのUDPパケットを拒否する例を示します。
01:24:23:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 1 packet
01:25:14:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 7 packets
01:26:12:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 1 packet
01:31:33:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 8 packets
IP ACLのすべてのロギング エントリは%SEC-6-IPACCESSLOGで開始します。エントリの形式は、一致したACLやアクセス エントリの種類に応じて若干異なります。
次に、 log-input キーワードを指定した場合の出力メッセージの例を示します。
00:04:21:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 (Vlan1 0001.42ef.a400) -> 10.1.1.61 (0/0), 1 packet
log キーワードを使用して同じ種類のパケットに関するログ メッセージを作成した場合、ログ メッセージには入力インターフェイス情報が追加されません。
00:05:47:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 -> 10.1.1.61 (0/0), 1 packet
名前指定のMAC拡張ACLの設定
VLANおよび物理レイヤ2インターフェイスで非IPトラフィックをフィルタリングする場合は、MACアドレスおよび名前指定のMAC拡張ACLを使用します。手順については、他の名前指定拡張ACLの場合と同様です。アクセス リストの名前として番号を使用することもできますが、700~799のMACアクセス リスト番号はサポートされません。
(注) 名前指定のMAC拡張ACLは、レイヤ3インターフェイスに適用できません。
mac access-list extended コマンドでサポートされている非IPプロトコルの詳細については、このリリースのコマンド リファレンスを参照してください。
(注) appletalkはコマンドライン ヘルプ ストリング内に表示されますが、denyおよびpermit MACアクセスリスト コンフィギュレーション モード コマンドの一致条件としてはサポートされません。また、ゼロ以外のOrganizational Unique Identifier(OUI)を含むEtherTypeのSNAPカプセル化パケットに対しても一致しません。
名前指定のMAC拡張ACLを作成するには、イネーブルEXECモードで次の手順を実行します。
ACL全体を削除するには、 no mac access-list extended name グローバル コンフィギュレーション コマンドを使用します。名前指定のMAC拡張ACLからACEを個別に削除することもできます。
次に、DECnet Phase IVというEtherTypeのトラフィックのみを拒否し、その他のすべてのタイプのトラフィックを許可する、 mac1 という名前のアクセス リストを作成、表示する例を示します。
レイヤ2インターフェイスへのMAC ACLの適用
MAC ACLを作成し、それをレイヤ2インターフェイスに適用すると、そのインターフェイスに着信する非IPトラフィックをフィルタリングできます。MAC ACLを適用する場合は、次の注意事項を考慮してください。
•
•
レイヤ2インターフェイスへのアクセスを制御するためMACアクセスリストを適用するには、イネーブルEXECモードで次の手順を実行します。
MACアクセスリストを使用し、指定されたインターフェイスへのアクセスを制御します。
(注) ポートACLは、着信方向に関してのみサポートされます。
指定されたアクセス グループを削除するには、 no mac access-group { name } in インターフェイス コンフィギュレーション コマンドを使用します。
次に、GigabitEthernet 0/3インターフェイスにアクセス リスト2を適用し、インターフェイスに入るパケットをフィルタリングする例を示します。
(注) mac access-groupインターフェイス コンフィギュレーション コマンドは、物理レイヤ2インターフェイスに適用された場合のみ有効となります。
着信ACLの場合、スイッチは受信したパケットをACLと照合します。ACLによってパケットが許可された場合は、パケットの処理が続行されます。拒否された場合、パケットは廃棄されます。
未定義のACLをインターフェイスに適用すると、スイッチはACLがインターフェイスに適用されていないと判断して処理を行い、すべてのパケットが許可されてしまいます。ネットワーク セキュリティのため、未定義のACLを使用する場合は注意してください。
VLANマップの設定
ここでは、VLANマップを設定する方法について説明します。この方法は、VLAN内でフィルタリングを制御する唯一の方法です。VLANマップには方向がありません。VLANマップを使用して、特定方向のトラフィックをフィルタリングするには、特定の送信元または宛先アドレスが指定されたACLを追加する必要があります。VLANマップ内に該当タイプのパケット(IPまたはMAC)に対するmatchコマンド文が存在する場合、デフォルトではマップ内のどのエントリにも一致しないパケットが廃棄されます。該当タイプのパケットに対するmatchコマンド文が存在しない場合、デフォルトではパケットが転送されます。
(注) ここで使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。
VLANマップを作成して1つまたは複数のVLANに適用するには、次の手順を実行します。
ステップ 1
ステップ 2
ステップ 3
(注) 該当タイプのパケット(IPまたはMAC)に対するmatchコマンド文がVLANマップに存在する場合でも、パケットがそのタイプに一致しない場合は、デフォルトでパケットが廃棄されます。該当タイプのパケットに対するmatchコマンド文がVLANマップ内になく、それに対するアクションが指定されていない場合、パケットは転送されます。
ステップ 4
(注) レイヤ2インターフェイスにACL(ポートACL)が適用されているスイッチのVLANには、VLANマップを適用できません。
VLANマップ設定時の注意事項
VLANマップの設定を行うときは、次の注意事項に従ってください。
•
•
•
•
•
•
•
VLANマップの作成
各VLANマップは順番に並べられた一連のエントリで構成されます。VLANマップ エントリを作成、追加、削除するには、イネーブルEXECモードで次の手順を実行します。
マップを削除するには、 no vlan access-map name グローバル コンフィギュレーション コマンドを使用します。
マップ内の単一のシーケンス エントリを削除するには、 no vlan access-map name number グローバル コンフィギュレーション コマンドを使用します。
デフォルトのアクションである転送を行うには、 no action アクセスマップ コンフィギュレーション コマンドを使用します。
VLANマップでは、特定のpermitまたはdenyキーワードは使用されません。VLANマップを使用してパケットを拒否するには、パケットと比較するACLを作成し、アクションを廃棄に設定します。ACLにpermitキーワードを指定した場合は一致とみなされます。ACLにdenyキーワードを指定した場合は一致しないとみなされます。
例1
ここでは、パケットを拒否するACLおよびVLANマップを作成する例を示します。最初のマップでは、 ip1 ACL(TCPパケット)に一致するすべてのパケットが廃棄されます。最初に、すべてのTCPパケットを許可し、それ以外のパケットをすべて拒否する ip1 ACLを作成します。VLANマップにはIPパケットに対するmatchコマンド文が存在するため、デフォルトではどのmatchコマンド文とも一致しないすべてのIPパケットが廃棄されます。
次に、パケットを許可するVLANマップを作成する例を示します。ACL ip2 はUDPパケットを許可します。 ip2 ACLと一致するすべてのパケットが転送されます。
このマップでは、これ以前のどのACLとも一致しなかったすべてのIPパケット(TCPでもUDPでもないパケット)が廃棄されます。
例2
次の例のVLANマップでは、デフォルトでIPパケットが廃棄され、MACパケットが転送されます。標準のACL 101と名前指定の拡張アクセス リスト igmp-match および tcp-match をこのマップと組み合わせて使用すると、次のようになります。
例3
次の例のVLANマップでは、デフォルトでMACパケットが廃棄され、IPパケットが転送されます。MAC拡張アクセス リスト good-hosts および good-protocols とこのマップを組み合わせて使用すると、次のようになります。
•
例4
次の例のVLANマップでは、デフォルトですべてのパケット(IPおよび非IP)が廃棄されます。例2および例3のアクセス リスト tcp-match および good-hosts をこのマップと組み合わせて使用すると、次のようになります。
VLANへのVLANマップの適用
1つのVLANマップを1つまたは複数のVLANに適用するには、イネーブルEXECモードで次の手順を実行します。
VLANマップを1つまたは複数のVLAN IDに適用します。
listには単一のVLAN ID(22)、連続した範囲(10~22)、またはVLAN IDからなるストリング(12、22、30)を指定できます。カンマやハイフンの前後にスペースを挿入することもできます。
(注) レイヤ2インターフェイスにACL(ポートACL)が適用されているスイッチのVLANには、VLANマップを適用できません。
VLANマップを削除するには、 no vlan filter mapname vlan-list list グローバル コンフィギュレーション コマンドを使用します。
配線クローゼットの構成
配線クローゼット構成におけるスイッチでは、ルーティングがイネーブルでない可能性があります。ただし、この構成でもVLANマップおよびQoS分類ACLはサポートされています。図28-4では、ホストXおよびホストYは異なるVLAN内にあり、配線クローゼット スイッチAおよびスイッチCに接続されていると想定しています。ホストXからホストYへのトラフィックは、ルーティングがイネーブルに設定されたスイッチBによって最終的にルーティングされます。ホストXからホストYへのトラフィックは、トラフィックのエントリ ポイントであるスイッチAでアクセス制御できます。
HTTPトラフィックをホストXからホストYへスイッチングしない場合は、ホストX(IPアドレス10.1.1.32)からホストY(IPアドレス10.1.1.34)へのHTTPトラフィックがスイッチBにブリッジングされず、すべてスイッチAで廃棄されるようにスイッチAのVLANマップを設定できます。
まず、HTTPポートですべてのTCPトラフィックを許可(一致)するIPアクセス リスト http を定義します。
次に、 http アクセス リストと一致するトラフィックが廃棄され、その他のすべてのIPトラフィックが転送されるように、VLANアクセスマップ map2 を作成します。
別のVLANにあるサーバへのアクセス拒否
別のVLANにあるサーバへのアクセスを制限できます。たとえば、VLAN 10内のサーバ10.1.1.100に対しては、次のようにアクセスを制限する必要があります(図28-5を参照)。
•
•
この例では、サブネット10.1.2.0/8内のホスト、ホスト10.1.1.4、およびホスト10.1.1.8のアクセスを拒否し、その他のIPトラフィックを許可するVLANマップSERVER1を作成して、別のVLAN内のサーバへのアクセスを拒否する方法を示しています。最後に、VLANマップSERVER1をVLAN 10に適用します。
ステップ 1
ステップ 2
ルータACLをVLANマップと組み合わせて使用する方法
ブリッジングされたトラフィックおよびルーティングされたトラフィックの両方に対してアクセス制御を行うには、VLANマップを単独で使用するか、またはルータACLとVLANマップを組み合わせて使用します。入力と出力両方のルーテッドVLANインターフェイスでルータACLを定義したり、ブリッジングされたトラフィックのアクセスを制御するVLANマップを定義できます。
(注) 1つのスイッチで、VLANマップまたは入力ルータACLとポートACLを組み合わせて使用することはできません。
パケット フローがACL内VLANマップのdenyコマンド文と一致した場合、ルータACLの設定に関係なく、パケット フローは拒否されます。
(注) ルータACLをVLANマップと組み合わせて使用し、ルータACLでのロギングを必要とするパケットがVLANマップで拒否された場合、これらのパケットはロギングされません。
該当タイプのパケット(IPまたはMAC)に対するmatchコマンド文がVLANマップに存在する場合でも、パケットがそのタイプに一致しない場合は、デフォルトでパケットが廃棄されます。VLANマップ内にmatchコマンド文がなく、アクションが指定されていない場合、どのVLANマップ エントリとも一致しないパケットは転送されます。
ここでは、ルータACLをVLANマップと組み合わせて使用する方法について説明します。
•
•
ルータACLとVLANマップを使用する場合の注意事項
ここに記載された注意事項は、ルータACL および VLANマップを同じVLAN上で使用する必要がある場合に適用されます。ルータACLおよびVLANマップを異なるVLANに割り当てる場合に、これらの注意事項は適用されません。
スイッチ ハードウェアは、方向(入力および出力)ごとにセキュリティACLを1回検索します。したがって、ルータACLおよびVLANマップを同じVLANに設定する場合は、これらを統合する必要があります。ルータACLとVLANマップを統合すると、ACEの数が急増することがあります。
ルータACLおよびVLANマップを同じVLANに設定する必要がある場合は、ルータACLとVLANマップの両方の設定に関する注意事項に従ってください。
•
permit...
permit...
permit...
deny ip any anydeny...
deny...
deny...
permit ip any any•
•
レイヤ4情報を含むIP ACEとTCP/UDP/ICMP ACEが両方ともACL内に存在し、full flowモードを指定する必要があるときは、レイヤ4 ACEをリストの末尾に配置します。この結果、IPアドレスに基づくトラフィックのフィルタリングが優先されます。
(注) ACL設定が指定されたインターバル内で安定した状態になると、システムは設定をハードウェアにロードします。ハードウェアのアップデート中は、影響を受けるすべてのインターフェイスで転送がブロックされます。この動作を変更する場合は、mls aclmerge delayおよびaccess-list hardware program nonblockingグローバル コンフィギュレーション コマンドを使用します。これらのコマンドの詳細については、このリリースのコマンド リファレンスを参照してください。
VLANに適用されるルータACLとVLANマップの例
ここでは、ルータACLおよびVLANマップをVLANに適用し、スイッチド パケット、ブリッジド パケット、ルーテッド パケット、およびマルチキャスト パケットを処理する例を示します。次の図ではそれぞれの宛先に転送されるパケットを示します。パケットのパスがVLANマップやACLを示す回線と交差するポイントで、パケットを転送せずに廃棄することもできます。
ACLおよびスイッチド パケット
図28-6に、VLAN内でスイッチングされるパケットにACLを適用する方法を示します。代替ブリッジングによってルーティングまたは転送されず、VLAN内でスイッチングされるパケットには、入力VLANのVLANマップのみが適用されます。
ACLおよびブリッジド パケット
図28-7に、代替ブリッジド パケットにACLを適用する方法を示します。ブリッジド パケットの場合は、入力VLANにレイヤ2 ACLのみが適用されます。また、非IPおよび非ARPパケットのみが代替ブリッジド パケットとなります。
ACLおよびマルチキャスト パケット
図28-9に、IPマルチキャスト用に複製されたパケットにACLを適用する方法を示します。ルーティングされるマルチキャスト パケットには、2つの異なるフィルタが適用されます。1つは、宛先が入力VLAN内の他のポートである場合に使用され、もう1つは、宛先がパケットのルーティング先である別のVLAN内にある場合に使用されます。パケットは複数の出力VLANにルーティングされますが、この場合は宛先VLANごとに異なるルータ出力ACLおよびVLANマップが適用されます。
最終的に、パケットは一部の出力VLAN内で許可され、それ以外のVLANで拒否されます。パケットのコピーが、許可された宛先に転送されます。ただし、入力VLANマップ(図28-9のVLAN 10マップ)によってパケットが廃棄される場合、パケットのコピーは宛先に送信されません。
ACL情報の表示
スイッチに設定されているACL、およびインターフェイスやVLANに適用されたACLを表示できます。また、設定の矛盾に関する情報やACLに関連したリソースの利用についての情報も表示できます。
ACLの設定の表示
既存のACLを表示できます。 ip access-group インターフェイス コンフィギュレーション コマンドを使用して、レイヤ2またはレイヤ 3インターフェイスにACLを適用した場合は、そのインターフェイスのアクセス グループを表示できます。レイヤ2インターフェイスに適用されたMAC ACLを表示することもできます。この情報を表示するには、イネーブルEXECコマンドを使用します( 表28-2 を参照)。
次に、 show access-lists イネーブルEXECコマンドを実行し、すべての標準ACLおよび拡張ACLを表示する例を示します。
次に、 show ip access-lists イネーブルEXECコマンドの出力例を示します。IP標準および拡張ACLのみが表示されます。前述の例で表示された名前指定のMAC拡張ACLは、この例で表示されません。
次に、 show mac access-group イネーブルEXECコマンドの出力例を示します。この出力で、MACアクセス リスト( macl-e1 )が適用されているインターフェイスはGigabitEthernetインターフェイス2だけであることがわかります。
VLANアクセスマップまたはVLANフィルタに関する情報を表示できます。VLANマップ情報を表示するには、 表28-3 に記載されたイネーブルEXECコマンドを使用します。
ACLリソースの利用率および設定問題の表示
スイッチの機能マネージャは、設定されたACLにリソースを割り当てます。設定に必要なだけの十分なハードウェア リソースがない場合、または設定に問題がある場合は、エラー メッセージが生成されます。コンソールがエラー メッセージ受信用に設定されていない場合は、 show fm イネーブルEXECコマンドを使用して機能マネージャのメッセージを表示し、インターフェイスのACLを処理するリソースについての情報を入手できます。また、 show tcam イネーブルEXECコマンドを使用すると、スイッチのTernary CAM(TCAM)の容量に関するステータス情報を入手できます。
表28-4 に、ACL機能マネージャ情報を表示するイネーブルEXECコマンドを示します。
これらのコマンドの詳細については、このリリースのコマンド リファレンスを参照してください。
ここでは、次のACL問題に関する情報表示方法について説明します。
•
設定の矛盾
ルータACLがすでに設定されているスイッチのインターフェイスにポートACLを適用するなど、許可されていないACL設定を入力しようとすると、エラー メッセージがログに記録されます。
次の例では、Gigabitポート1はレイヤ2インターフェイスです。アクセス リスト ip3 を適用しようとすると、すでにスイッチのレイヤ3インターフェイスにACLが適用されていることを示すエラー メッセージが表示されます。
ACLの設定に矛盾があるかどうかを判断し、そのポートのポートラベル番号を調べるには、インターフェイスに対して show fm interface イネーブルEXECコマンドを実行します。さらに詳細情報を表示するには、次の例のように show fm port-label イネーブルEXECコマンドを入力します。
次の例は、レイヤ2インターフェイスにACLがすでに適用されているスイッチで、SVIであるVLAN 1にACL 121を適用しようとした結果を示しています。
show fm vlanイネーブルEXECコマンド を入力すると設定の矛盾が表示され、VLAN label-ids を判断できます。さらに詳細情報を表示するには、 show fm vlan-label コマンドを入力します。
ハードウェアでのACL設定の適合性
前述のように、Catalyst 3550スイッチでのACL処理は、大部分がハードウェアで処理されます。ただし、ACL設定を格納するためのハードウェア容量が限界に達した場合は、スイッチのソフトウェアによって、ハードウェア内の設定が単純になるように調整されます。設定が単純になると、設定されたフィルタリング処理の一部が実行されなくなり、一部またはすべてのパケットがCPUに送られて、ソフトウェアによりフィルタリングされます。この方法で、設定されたすべてのフィルタリング処理が実行されますが、ソフトウェアでフィルタリングが行われるとパフォーマンスが大幅に低下します。
たとえば、VLANインターフェイスに適用される入力ルータACLと、同じVLANに適用されるVLANマップの組み合わせがハードウェアに適合しない場合は、次のようになります。
•
•
ハードウェアに対する設定の適合性問題はすべてログに記録されます。 show fm イネーブルEXECコマンドを使用すると、ハードウェアに適合しないインターフェイスの設定またはVLANの設定があるかどうかを判別できます。
ポートACLの例
次に、使用可能なTCAMスペースに対してポート アクセス リストが大きすぎる例を示します。
ポート ラベルを確認したり、ラベルがインターフェイスに割り当てられているかどうかを調べる場合は、 show fm interface コマンドを入力します。
次の例では、 show fm port-label 3 イネーブルEXECコマンドの出力から、CAM 1に必要なラベル3がCAM 1にロードされず、代わりにCPUに送信されていることがわかります。
スイッチのTCAMの数はスイッチ モデルによって異なります(1~3)。TCAMを複数個装備しているスイッチで、同じポートACLが複数のインターフェイスに適用されている場合、必要なTCAMの一部(全部ではない)に設定が適合しないことがあります。このような場合、ACLが適用されたときに生成されたログ メッセージに、そのACLをロードできなかったTCAMが指定されます。
ラベル4に対して show fm port-label コマンドを入力すると、各TCAMに機能がロードされているかどうかがわかります。
この出力は、CAM 1と3でポート ラベル4が必要とされているのに、CAM 1にポート ラベル4が適合していないことを示しています。CAM 1に他のポート ラベルのエントリがすでに含まれCAM 3よりも使用可能な空き容量が少ないためです。また、この出力から、CAM 3にはポート ラベル4がロードされているものの、このラベルのポートACLのエントリがCAM 1からアンロードされているため、CAM 1はこのラベルのパケットをCPUに送信していることがわかります。
VLANまたはルータACLの例
次に、VLAN 1の機能マネージャ情報を表示する例を示します。
次に、 show fm vlan-label イネーブルEXECコマンドの出力例を示します。入力アクセス グループでマージに失敗したことがわかります。
次に、 show fm vlan-label イネーブルEXECコマンドの出力例を示します。入力アクセス グループに使用できる十分な空き容量がハードウェアにないことがわかります。
次に、 show fm vlan-label イネーブルEXECコマンドの例を示します。この出力から、このラベルの入力アクセス グループまたは出力アクセス グループに対して十分な空き容量がないことがわかります(アクセス グループは2つの異なるインターフェイスに設定されています。ラベルは入力および出力に関して個別に割り当てられます)。
(注) ACLに割り当てられるハードウェア リソースが最大になるようにACLを設定する場合は、sdm prefer accessグローバル コンフィギュレーション コマンドを使用し、アクセス テンプレートにSDM機能を設定します。SDMテンプレートの詳細については、「ユーザが選択した機能に対するシステム リソースの最適化」を参照してください。
TCAMの利用率
show tcam イネーブルEXECコマンドを使用すると、ACLを設定する前後にTCAMの空き容量を表示したり、特定のインターフェイスまたはVLANに割り当てられているTCAM内の容量を調べることができます。
TCAM内でACLが入力されている領域の合計サイズを表示するには、 show tcam size を使用します。
さまざまなTCAM領域に割り当てる容量を変更する場合は、 sdm prefer グローバル コンフィギュレーション コマンドを使用します。このコマンドを使用して、ACL、ルーティング、またはレイヤ2スイッチングに割り当てるリソースを増やすことができます。
入力または出力のTCAM領域に対して show tcam statistics コマンドを入力すると、マスクおよびエントリの割り当て量と使用可能量が表示されるため、そのTCAM領域がどの程度利用されているかがわかります。次に示すのは、このコマンドの出力例です。
インターフェイスまたはVLANへのACLの設定に使用できるTCAMの量を判断するには、まず show fm interface コマンドまたは show fm vlan コマンドを使用します。これらのコマンドの出力から、そのポートまたはVLANのACL設定に使用されるポート ラベルまたはVLANラベルを判別できます。さらに、 show tcam port-label コマンドまたは show tcam vlan-label コマンドを使用すると、そのラベルに割り当てられているTCAMの容量が表示されます。VLANラベルはルータACLとVLANマップに、ポート ラベルはポートACLに使用されます。
(注) show tcam vlan-labelの出力に含まれているエントリ数(Number of entries)フィールドでは、2つのデフォルト エントリがカウントされていないため、このフィールドの値からは2つのエントリが除外されています。デフォルト エントリはポート ラベルに使用されないので、このフィールドの出力は正確な値となります。
