Catalyst 6500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド - リリース 12.1 E
ネットワーク セキュリティの設定
ネットワーク セキュリティの設定
発行日;2012/02/02 | 英語版ドキュメント(2011/06/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

ネットワーク セキュリティの設定

アクセス制御リスト(ACL)設定時の注意事項

ハードウェアおよびソフトウェア ACL のサポート

ACL におけるレイヤ 4 演算の使用上の注意事項および制約事項

レイヤ 4 演算の使用

論理演算ユニットの使用

Cisco IOS ファイアウォール フィーチャ セットの設定

Cisco IOS ファイアウォール フィーチャ セットのサポートの概要

ファイアウォール設定時の注意事項および制約事項

制約事項

注意事項

での CBAC の設定

MAC アドレスベースのトラフィック ブロッキングの設定

VLAN ACL の設定

VACL の概要

VACL の概要

ブリッジド パケット

ルーティング対象パケット

マルチキャスト パケット

VACL の設定

VACL の設定の概要

VLAN アクセス マップの定義

VLAN アクセス マップ シーケンスでの match コマンドの設定

VLAN アクセス マップ シーケンスでの action コマンドの設定

VLAN アクセス マップの適用

VLAN アクセス マップの設定の確認

VLAN アクセス マップの設定および確認の例

キャプチャ ポートの設定

VACL ログ機能の設定

TCP インターセプトの設定

ユニキャスト Reverse Path Forwarding の設定

ユニキャスト RPF のサポートの概要

ユニキャスト RPF の設定

self-ping のイネーブル化

ユニキャスト RPF チェック モードの設定

ユニキャスト フラッド保護の設定

MAC 移動通知の設定

ネットワーク セキュリティの設定

この章では、Catalyst 6500 シリーズ スイッチ固有のネットワーク セキュリティ機能について説明します。これは、次のマニュアルに記載されているネットワーク セキュリティに関する情報および手順を補足するためのものです。

次の URL の『 Cisco IOS Security Configuration Guide Release 12.1

http://www.cisco.com/en/US/docs/ios/12_1/security/configuration/guide/secur_c.html

次の URL の『 Cisco IOS Security Command Reference Release 12.1

http://www.cisco.com/en/US/docs/ios/12_1/security/configuration/guide/secur_c.html

この章で説明する内容は、次のとおりです。

「アクセス制御リスト(ACL)設定時の注意事項」

「ハードウェアおよびソフトウェア ACL のサポート」

「ACL におけるレイヤ 4 演算の使用上の注意事項および制約事項」

「Cisco IOS ファイアウォール フィーチャ セットの設定」

「MAC アドレスベースのトラフィック ブロッキングの設定」

「VLAN ACL の設定」

「TCP インターセプトの設定」

「ユニキャスト Reverse Path Forwarding の設定」

「ユニキャスト フラッド保護の設定」

「MAC 移動通知の設定」


) Release 12.1(11b)E 以降のリリースでは、コンフィギュレーション モードで、EXEC モード レベル コマンドの前に do キーワードを入力することによって、EXEC モード レベル コマンドを入力できます。


アクセス制御リスト(ACL)設定時の注意事項

Access Control List(ACL; アクセス制御リスト)設定に次の注意事項が適用されます。

各タイプの ACL(IP、Internetwork Packet Exchange [IPX]、および MAC)は対応するトラフィック タイプだけをフィルタリングします。MAC ACL が IP または IPX トラフィックと一致することはありません。

パケットがアクセス グループによって拒否された場合、デフォルトで Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)が Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)到達不能メッセージを送信します。

ip unreachables コマンドがイネーブルの場合(デフォルト)、Supervisor Engine 2 は拒否されたパケットの大部分をハードウェアで廃棄し、一部のパケット(最大で 10 パケット/秒)だけが Multilayer Switch Feature Card 2(MSFC2; マルチレイヤ スイッチ フィーチャ カード 2)に送信されて廃棄されます(これにより ICMP 到達不能メッセージが生成されます)。

ip unreachables コマンドがイネーブルの場合、Supervisor Engine 1 は、拒否されたすべてのパケットを MSFC に送信して廃棄します。これにより、ICMP 到達不能メッセージが生成されます。Supervisor Engine 1 の場合、ハードウェアでアクセス リストにより拒否されたパケットを廃棄するには、 no ip unreachables インターフェイス コンフィギュレーション コマンドを使用して ICMP 到達不能メッセージをディセーブルにする必要があります。

拒否されたパケットを廃棄し、ICMP 到達不能メッセージを生成することによって MSFC の CPU にかかる負荷を軽減するには、次の作業を行います。

Supervisor Engine 1 の場合、 no ip unreachables インターフェイス コンフィギュレーション コマンドを入力します。

Supervisor Engine 2 の場合、 no ip unreachables および no ip redirects インターフェイス コンフィギュレーション コマンドを入力します (CSCdr33918)。

パケットが VACL によって拒否された場合、ICMP 到達不能メッセージは送信されません。

ハードウェアおよびソフトウェア ACL のサポート

アクセス制御リスト(ACL)は、ハードウェアの場合には Policy Feature Card(PFC; ポリシー フィーチャ カード)、Policy Feature Card 2(PFC2; ポリシー フィーチャ カード 2)、Distributed Forwarding Card(DFC; 分散型フォワーディング カード)で、ソフトウェアの場合にはマルチレイヤ スイッチ フィーチャ カード(MSFC または MSFC2)で処理できます。次の動作における、ACL のソフトウェアとハードウェア処理を説明します。

標準 ACL および拡張 ACL(入力および出力)の「deny」ステートメントに一致する ACL フローは、「ipunreachables」がディセーブルに設定されている場合、ハードウェアによって廃棄されます。

標準 ACL および拡張 ACL(入力および出力)の「permit」ステートメントに一致する ACL フローは、ハードウェアで処理されます。

VLAN ACL(VACL; VLAN アクセス制御リスト)フローはハードウェアで処理されます。VACL で指定されたフィールドのハードウェア処理がサポートされていない場合、このフィールドは無視されるか(ACL の log キーワードなど)、または設定全体が拒否されます(サポートされていない IPX ACL パラメータを含む VACL など)。

VACL ログ機能はソフトウェアで処理されます。

ダイナミック ACL フローはハードウェアで処理され、アイドル タイムアウトはソフトウェアで処理されます。

特定のポート上の ACL アクセス違反の IP アカウントは、そのポート上で拒否された全パケットを MSFC に転送し、ソフトウェアで処理させることによってサポートされます。この動作は他のフローには影響しません。

名前ベースの拡張 MAC アドレス ACL は、ハードウェアでサポートされています。

次の ACL タイプは、ソフトウェアによって処理されます。

標準 XNS アクセス リスト

拡張 XNS アクセス リスト

DECnet アクセス リスト

Internetwork Packet Exchange(IPX)アクセス リスト

拡張 MAC アドレス アクセス リスト

プロトコル タイプコード アクセス リスト


) ヘッダー長が 5 バイト未満の IP パケットは、アクセス制御されません。


ロギングを必要とするフローはソフトウェアで処理され、ハードウェアでの非ロギング フローの処理には影響しません。

ソフトウェアで処理されるフローの転送レートは、ハードウェアで処理されるフローに比べると、大幅に小さくなります。

show ip access-list コマンドの出力に表示されるマッチ カウントには、ハードウェアで処理されたパケットは含まれません。

ACL におけるレイヤ 4 演算の使用上の注意事項および制約事項

ここでは、レイヤ 4 ポート演算を含む ACL を設定する場合の注意事項および制約事項について説明します。

「レイヤ 4 演算の使用」

「論理演算ユニットの使用」

レイヤ 4 演算の使用

次のタイプの演算子を指定できます。

gt(geater than:より大きい)

lt(less than:より小さい)

neq(not equal:等しくない)

eq(equal:等しい)

range(inclusive range:包含範囲)

1 つの ACL に指定する演算は、9 つまでにしてください。この数を超えると、新しい演算によって影響される Access Control Entry(ACE; アクセス制御エントリ)が、複数の ACE に分割されることがありあります。

レイヤ 4 演算を使用するときは、次の 2 つの注意事項に従ってください。

レイヤ 4 演算は、演算子またはオペランドが異なっていると、違う演算であると見なされます。たとえば、次の ACL には 3 つの異なるレイヤ 4 演算が定義されています(「gt 10」と「gt 11」は 2 つの異なるレイヤ 4 演算です)。

... gt 10 permit
... lt 9 deny
... gt 11 deny
 

) 「eq」演算子の使用に制限はありません。「eq」演算子は Logical Operator Unit(LOU; 論理演算ユニット)またはレイヤ 4 演算ビットを使用しないためです。LOU については、「論理演算ユニットの使用」を参照してください。


レイヤ 4 演算は、同じ演算子/オペランドの組み合せでも、送信元ポートに適用するか宛先ポートに適用するかによって異なる演算になります。たとえば次の ACL では、1 つの ACE には送信元ポート、もう 1 つの ACE には宛先ポートが指定されているため、2 つの異なるレイヤ 4 演算が定義されていることになります。

... Src gt 10 ...
... Dst gt 10

論理演算ユニットの使用

論理演算ユニット(LOU)は、演算子/オペランドの組み合せを保存するレジスタです。ACL はすべて、LOU を使用します。最大 32 の LOU があります。各 LOU には、2 つの異なる演算子/オペランドの組み合せを保存できますが、range 演算子だけは例外です。レイヤ 4 演算は、次のように LOU を使用します。

gt は、1/2 LOU を使用します。

lt は、1/2 LOU を使用します。

neq は、1/2 LOU を使用します。

range は、1 LOU を使用します。

eq では、LOU は不要です。

たとえば、次の ACL では、1 つの LOU に 2 つの異なる演算子/オペランドの組み合せが保存されます。

... Src gt 10 ...
... Dst gt 10
 

以下は、より詳細な例です。

ACL1
... (dst port) gt 10 permit
... (dst port) lt 9 deny
... (dst port) gt 11 deny
... (dst port) neq 6 permit
... (src port) neq 6 deny
... (dst port) gt 10 deny
 
ACL2
... (dst port) gt 20 deny
... (src port) lt 9 deny
... (src port) range 11 13 deny
... (dst port) neq 6 permit
 

レイヤ 4 演算数と LOU 数は、次のとおりです。

ACL1 のレイヤ 4 演算:5

ACL2 のレイヤ 4 演算:4

LOU:4

LOU は、次のように使用されています。

LOU 1 に、「gt 10」および「lt 9」が保存されます。

LOU 2 に、「gt 11」および「neq 6」が保存されます。

LOU 3 に、「gt 20」が保存されます(半分は空き)。

LOU 4 に、「range 11 13」が保存されます(range は 1 LOU を使用)。

Cisco IOS ファイアウォール フィーチャ セットの設定


) Release 12.1(11b)E 以降のリリースには、ファイアウォール フィーチャ セット イメージが含まれます。


ここでは、Catalyst 6500 シリーズ スイッチで Cisco IOS ファイアウォール フィーチャ セットを設定する手順について説明します。

「Cisco IOS ファイアウォール フィーチャ セットのサポートの概要」

「ファイアウォール設定時の注意事項および制約事項」

「Catalyst 6500 シリーズ スイッチでの CBAC の設定」

Cisco IOS ファイアウォール フィーチャ セットのサポートの概要

ファイアウォール フィーチャ セット イメージは、次の Cisco IOS ファイアウォール機能をサポートします。

Context-Based Access Control(CBAC; コンテキストベースのアクセス制御)

Port-to-Application Mapping(PAM; ポートツーアプリケーション マッピング)

Authentication Proxy(AP; 認証プロキシ)

次に、ファイアウォール フィーチャ セット イメージの名前を示します。

c6sup22-jo3sv-mz

c6sup22-po3sv-mz

c6sup12-jo3sv-mz

c6sup12-po3sv-mz

Cisco IOS ファイアウォール フィーチャの詳細については、次の URL にある『 Cisco IOS Security Configuration Guide Release 12.1 』 の「Traffic Filtering and Firewalls」を参照してください。

次の URL の「Cisco IOS Firewall Overview」の章

http://www.cisco.com/en/US/docs/ios/12_1/security/configuration/guide/scdfirwl.html

次の URL の「Configuring Context-Based Access Control」の章

http://www.cisco.com/en/US/docs/ios/12_1/security/configuration/guide/scdcbac.html

次の URL の「Configuring Authentication Proxy」の章

http://www.cisco.com/en/US/docs/ios/12_1/security/configuration/guide/scdauthp.html

次の URL の『Cisco IOS Security Command Reference』

http://www.cisco.com/en/US/docs/ios/12_1/security/configuration/guide/secur_c.html

Cisco IOS ファイアウォール イメージを使用するかどうかに関係なく、次の機能がサポートされます。

標準アクセス リストおよびスタティック拡張アクセス リスト

Lock-and-Key(ダイナミックアクセス リスト)

IP セッション フィルタリング(再帰アクセス リスト)

TCP インターセプト

セキュリティ サーバ サポート

Network Address Translation(NAT; ネットワーク アドレス変換)

近接ルータ認証

イベント ログ機能

ユーザ認証および許可


Catalyst 6500 シリーズ スイッチは、Intrusion Detection System Module(IDSM)(WS-X6381-IDS)をサポートします。Catalyst 6500 シリーズ スイッチは、Cisco IOS ファイアウォール IDS 機能をサポートしません。この機能を設定するには、ip audit コマンドを使用します。


ファイアウォール設定時の注意事項および制約事項

Cisco IOS ファイアウォール フィーチャを設定する場合、次の注意事項および制約事項に注意してください。

制約事項

他のプラットフォームで、特定のポートに関して ip inspect コマンドを入力すると、CBAC は、検査されたトラフィックがネットワーク装置を通過できるように、他のポートのアクセス制御リスト(ACL)を変更します。他のポート経由のトラフィックを拒否する ACL で、トラフィックの通過を許可するには、Catalyst 6500 シリーズ スイッチ上で、 mls ip inspect コマンドを入力する必要があります。「Catalyst 6500 シリーズ スイッチでの CBAC の設定」を参照してください。

Supervisor Engine 2 および PFC2 の場合、再帰 ACL および CBAC には、矛盾するフロー マスク要件があります。Supervisor Engine 2 および PFC2 のスイッチで CBAC を設定する場合、再帰 ACL は、MSFC2 のソフトウェアで処理されます。

CBAC は VACL と互換性がありません。CBAC および VACL はスイッチ上に設定できますが、同じサブネット(VLAN)内または同じインターフェイス上には設定できません。


) Intrusion Detection System Module(IDSM)は、VACL を使ってトラフィックを選択します。CBAC が設定されているサブネット内で IDSM を使用するには、mls ip ids acl_name インターフェイス コマンドを入力します。acl_name は、IDSM のトラフィックを選択する場合に設定します。


注意事項

Microsoft NetMeeting(2.0 以降)のトラフィックを検査するには、 h323 および tcp の両方の検査をオンにします。

Web トラフィックを検査するには、 tcp 検査をオンにします。パフォーマンスの低下を回避するには、 http 検査をオフにして、Java をブロックします。

CBAC は、レイヤ 3 インターフェイスとして設定された物理ポート、および VLAN インターフェイスに設定できます。

Quality of Service(QoS; サービス品質)および CBAC は相互に作用したり、干渉したりすることはありません。

Catalyst 6500 シリーズ スイッチでの CBAC の設定

Catalyst 6500 シリーズ スイッチに、追加の CBAC 設定をする必要があります。Catalyst 6500 シリーズ スイッチ以外のネットワーク装置に、ポートがトラフィックを拒否するように設定されている場合、CBAC を使用すると、 ip inspect コマンドで設定されたポートの場合、そのポートを経由してトラフィックを双方向に送信できます。同じ動作が、トラフィックが通過する必要がある別のポートにも適用されます(次の例を参照)。

Router(config)# ip inspect name permit_ftp ftp
Router(config)# interface vlan 100
Router(config-if)# ip inspect permit_ftp in
Router(config-if)# ip access-group deny_ftp_a in
Router(config-if)# ip access-group deny_ftp_b out
Router(config-if)# exit
Router(config)# interface vlan 200
Router(config-if)# ip access-group deny_ftp_c in
Router(config-if)# ip access-group deny_ftp_d out
Router(config-if)# exit
Router(config)# interface vlan 300
Router(config-if)# ip access-group deny_ftp_e in
Router(config-if)# ip access-group deny_ftp_f out
Router(config-if)# end
 

VLAN 100 で開始した FTP(ファイル転送プロトコル)セッションを VLAN 200 で終了する必要がある場合、CBAC を使用すると、ACL の deny_ftp_a、deny_ftp_b、deny_ftp_c、および deny_ftp_d を経由して FTP トラフィックを送信できます。VLAN 100 で開始した FTP セッションを VLAN 300 で終了する必要がある場合、CBAC を使用すると、ACL の deny_ftp_a、deny_ftp_b、deny_ftp_e、および deny_ftp_f を経由して FTP トラフィックを送信できます。

Catalyst 6500 シリーズ スイッチのポートがトラフィックを拒否するように設定されている場合、CBAC を使用すると、 ip inspect コマンドで設定されたポートだけを経由してトラフィックを双方向に送信できます。他のポートは、 mls ip inspect コマンドを使用して設定する必要があります。

VLAN 100 で開始した FTP セッションを VLAN 200 で終了する必要がある場合、Catalyst 6500 シリーズ スイッチ上で CBAC を使用すると、FTP トラフィックは ACL の deny_ftp_a および deny_ftp_b だけを通過します。ACL の deny_ftp_c および deny_ftp_d をトラフィックが通過できるようにするには、次の例のように、 mls ip inspect deny_ftp_c コマンドおよび mls ip inspect deny_ftp_d コマンドを入力する必要があります。

Router(config)# mls ip inspect deny_ftp_c
Router(config)# mls ip inspect deny_ftp_d
 

この設定例では、VLAN 300 で FTP トラフィックを終了するには、 mls ip inspect deny_ftp_e および mls ip inspect deny_ftp_f コマンドを入力する必要があります。設定を確認するには、 show fm insp [ detail ] コマンドを入力します。

show fm insp [ detail ] コマンドを実行すると、ACL のリスト、および CBAC が設定されているポートやステータス( ACTIVE または INACTIVE )が表示されます(次の例を参照)。

Router# show fm insp
interface:Vlan305(in) status :ACTIVE
acl name:deny
interfaces:
Vlan305(out):status ACTIVE
 

VLAN 305 では、着信方向の検査がアクティブで、ACL は設定されていません。VLAN 305 では、ACL deny が発信方向に適用されていて、検査がアクティブです。

すべてのフロー情報を表示するには、detail キーワードを使用します。

CBAC を設定する前にポートに VACL を設定した場合は、表示されるステータスは INACTIVE となります。それ以外の場合は ACTIVE です。PFC リソースがなくなっている場合にこのコマンドを実行すると、「BRIDGE」と表示され、続いて、処理のために MSFC2 に送信された NetFlow 要求のうち過去に失敗したが現在アクティブな NetFlow 要求の数が表示されます。

MAC アドレスベースのトラフィック ブロッキングの設定

12.1(13)E 以降のリリースの場合、特定の Virtual LAN(VLAN; 仮想 LAN)内の MAC アドレスを経由するすべてのトラフィックをブロックするには、次の作業を行います。

 

コマンド
目的

Router(config)# mac-address-table static mac_address vlan vlan_ID drop

特定の VLAN 内で設定されている MAC アドレスを経由するすべてのトラフィックをブロックします。

Router(config)# no mac-address-table static mac_address vlan vlan_ID

MAC アドレスベースのブロッキングを消去します。

次に、VLAN 12 内で MAC アドレス 0050.3e8d.6400 を経由するすべてのトラフィックをブロックする例を示します。

Router# configure terminal
Router(config)# mac-address-table static 0050.3e8d.6400 vlan 12 drop

VLAN ACL の設定


) Releases 12.1(11b)E 以降で、VLAN アクセス制御リスト(VACL)がサポートされます。


ここでは、VACL について説明します。

「VACL の概要」

「VACL の設定」

「VACL ログ機能の設定」

VACL の概要

VACL は、VLAN 内でブリッジされるか、VLAN 外または(Releases 12.1(13)E 以降のリリースの場合)VACL キャプチャの WAN インターフェイスとの間でルーティングされている すべてのパケット のアクセス制御を行います。ルータ インターフェイスだけで設定され、ルーティング対象パケットにだけ適用される通常の Cisco IOS 標準または拡張 ACL と異なり、VACL はすべてのパケットに適用され、どの VLAN または WAN インターフェイスにも適用できます。VACL はハードウェアで処理されます。VACL は Cisco IOS ACL を使用します。VACL は、ハードウェアでサポートされていないすべての Cisco IOS ACL フィールドを無視します。

IP、Internetwork Packet Exchange(IPX)、および MAC レイヤ トラフィックの場合は、VACL を設定できます。WAN インターフェイスに適用される VACL は、VACL キャプチャの IP トラフィックだけをサポートします。

VACL を設定して VLAN に適用すると、VLAN に着信するすべてのパケットが、この VACL と照合されます。VACL を VLAN に適用し、ACL を VLAN 内のルーティング対象インターフェイスに適用すると、VLAN に着信するパケットは最初に VACL と照合されます。そこで許可されると、次に入力 ACL と照合され、それからルーティング対象インターフェイスで処理されます。別の VLAN にルーティングされるパケットは、最初に、ルーティング対象インターフェイスに適用される出力 ACL と照合されます。そこで許可されると、宛先 VLAN 用に設定された VACL が適用されます。VACL が特定のパケット タイプ用に設定されていて、VACL と該当タイプのパケットとが一致しない場合、デフォルト動作では、パケットが拒否されます。


) • VACL および CBAC は、同じインターフェイス上に設定できません。

TCP インターセプトおよび再帰 ACL は、VACL アクションと同じインターフェイスに設定されている場合、VACL よりも優先されます。

IGMP パケットは VACL と照合されません。


 

ブリッジド パケット

図 23-1 に、ブリッジド パケットに適用される VACL を示します。

図 23-1 ブリッジド パケットへの VACL の適用

 

ルーティング対象パケット

図 23-2 に、ルーティング対象パケットおよびレイヤ 3 スイッチング対象パケットに ACL を適用する方法を示します。ルーティング対象パケットおよびレイヤ 3 スイッチング対象パケットに対して、ACL は次の順番で適用されます。

1. 入力 VLAN 用 VACL

2. 入力 Cisco IOS ACL

3. 出力 Cisco IOS ACL

4. 出力 VLAN 用 VACL

図 23-2 ルーティング対象パケットへの VACL の適用

 

マルチキャスト パケット

図 23-3 に、マルチキャスト拡張が必要なパケットに ACL を適用する方法を示します。マルチキャスト拡張が必要なパケットに対して、ACL は次の順番で適用されます。

1. マルチキャスト拡張が必要なパケット:

a. 入力 VLAN 用 VACL

b. 入力 Cisco IOS ACL

2. マルチキャスト拡張後のパケット:

a. 出力 Cisco IOS ACL

b. 出力 VLAN 用 VACL(PFC2 ではサポートされません)

3. ルータから送信されるパケット:出力 VLAN 用 VACL

図 23-3 マルチキャスト パケットへの VACL の適用

 

VACL の設定の概要

VACL は標準および拡張 Cisco IOS IP と IPX ACL、MAC レイヤ名前付き ACL(「MAC レイヤの名前付きアクセス リストの設定(任意)」を参照)、および VLAN アクセス マップを使用します。

VLAN アクセス マップは、VLAN または(Releases 12.1(13)E 以降の場合)VACL キャプチャの WAN インターフェイスに適用されます。WAN インターフェイスに付加された VACL は、VACL キャプチャの標準または拡張 Cisco IOS IP ACL だけをサポートします。

各 VLAN アクセス マップは、1 つ以上のマップ シーケンスで構成できます。各シーケンスには match コマンドと action コマンドが含まれます。match コマンドはトラフィック フィルタリング用の IP、IPX、または MAC ACL を指定します。action コマンドは一致した場合に実行するアクションを指定します。フローが許可(permit)ACL エントリと一致した場合、関連付けられたアクションが実行され、それ以降の残りのシーケンスに対してフローはチェックされません。フローが拒否(deny)ACL エントリと一致した場合、同じシーケンス内の次の ACL、または次のシーケンスに対してフローがチェックされます。フローがどの ACL エントリとも一致せず、1 つ以上の ACL がそのパケット タイプ用に設定されている場合、パケットは拒否されます。

ブリッジド トラフィックおよびルーティング対象トラフィックの両方にアクセス制御を使用するには、VACL を単独で使用するか、または VACL と ACL を組み合せて使用します。VLAN インターフェイス上で ACL を定義して、入力と出力のルーティング対象トラフィックに対してアクセスを制御できます。VACL を定義して、ブリッジド トラフィックに対してアクセス制御を使用します。

VACL とともに ACL を使用する場合は、次の点に注意してください。

発信 ACL での記録の必要があるパケットは、VACL で拒否された場合、記録されません。

VACL は NAT 変換前のパケットに適用されます。アクセス制御されなかった変換フローは、VACL 設定により、変換後にアクセス制御される場合があります。

VACL の action コマンドには、転送(forward)、廃棄(drop)、キャプチャ(capture)、またはリダイレクト(redirect)を指定できます。トラフィックをログに記録することもできます。WAN インターフェイスに適用された VACL は、リダイレクトまたはログ アクションをサポートしません。


) VACL のマップの最後には、暗黙的な拒否エントリがあります。パケットがどの ACL エントリとも一致せず、1 つ以上の ACL がそのパケット タイプ用に設定されている場合、パケットは拒否されます。



) 空または未定義の ACL が VACL 内で指定されている場合、すべてのパケットはこの ACL に一致し、関連付けられたアクションが実行されます。


VLAN アクセス マップの定義

VLAN アクセス マップを定義するには、次の作業を行います。

 

コマンド
目的

Router(config)# vlan access-map map_name [ 0-65535 ]

VLAN アクセス マップを定義します。任意で、VLAN アクセス マップのシーケンス番号を指定できます。

Router(config)# no vlan access-map map_name 0-65535

VLAN アクセス マップからマップ シーケンスを削除します。

Router(config)# no vlan access-map map_name

VLAN アクセス マップを削除します。

VLAN アクセス マップを定義する場合、構文に関する次の情報に注意してください。

エントリを追加または変更する場合は、マップのシーケンス番号を指定します。

マップのシーケンス番号を指定しないと、番号が自動的に割り当てられます。

各マップ シーケンスには、match コマンドおよび action コマンドをそれぞれ 1 つだけ指定できます。

マップ シーケンスを削除する場合は、シーケンス番号を指定して no キーワードを使用します。

マップを削除する場合は、シーケンス番号を指定しないで、 no キーワードを使用します。

「VLAN アクセス マップの設定および確認の例」を参照してください。

VLAN アクセス マップ シーケンスでの match コマンドの設定

VLAN アクセス マップ シーケンスに match コマンドを設定するには、次の作業を行います。

 

コマンド
目的

Router(config-access-map)# match { ip address { 1-199 | 1300-2699 | acl_name } | ipx address { 800-999 | acl_name }| mac address acl_name }

VLAN アクセス マップ シーケンスに match コマンドを設定します。

Router(config-access-map)# no match { ip address { 1-199 | 1300-2699 | acl_name } | ipx address { 800-999 | acl_name }| mac address acl_name }

VLAN アクセス マップ シーケンスから match コマンドを削除します。

VLAN アクセス マップ シーケンスに match コマンドを設定する場合、構文に関する次の情報に注意してください。

1 つ以上の ACL を選択できます。

WAN インターフェイスに付加された VACL は、標準または拡張 Cisco IOS IP ACL だけをサポートします。

match コマンドを削除したり、match コマンド内の特定の ACL を削除したりする場合は、no キーワードを使用します。

名前付き MAC レイヤ ACL の詳細については、「MAC レイヤの名前付きアクセス リストの設定(任意)」を参照してください。

Cisco IOS ACL の詳細については、次の URL にある『 Cisco IOS Security Configuration Guide Release 12.1 』 の「Traffic Filtering and Firewalls」、「Access Control Lists: Overview and Guidelines」を参照してください。

http://www.cisco.com/en/US/docs/ios/12_1/security/configuration/guide/scdacls.html

「VLAN アクセス マップの設定および確認の例」を参照してください。

VLAN アクセス マップ シーケンスでの action コマンドの設定

VLAN アクセス マップ シーケンスに action コマンドを設定するには、次の作業を行います。

 

コマンド
目的

Router(config-access-map)# action { drop [ log ]} | { forward [ capture ]} | { redirect {{ethernet | fastethernet | gigabitethernet | tengigabitethernet} slot/port} | {port-channel channel_id}}

VLAN アクセス マップ シーケンスに action コマンドを設定します。

Router(config-access-map)# no action { drop [ log ]} | { forward [ capture ]} | { redirect {{ethernet | fastethernet | gigabitethernet | tengigabitethernet} slot/port} | {port-channel channel_id}}

VLAN アクセス マップ シーケンスから action コマンドを削除します。

VLAN アクセス マップ シーケンスに action コマンドを設定する場合、構文に関する次の情報に注意してください。

パケットを廃棄、転送、転送してキャプチャ、またはリダイレクトするアクションを設定できます。

WAN インターフェイスに適用される VACL は、転送してキャプチャするアクションだけをサポートします。WAN インターフェイスに適用された VACL は、廃棄、転送、またはリダイレクト アクションをサポートしません。

転送されたパケットも、設定済み Cisco IOS セキュリティ ACL による制約を受けます。

capture アクションを指定すると、転送されたパケットのキャプチャ ビットが設定されて、キャプチャ機能がイネーブルであるポートがパケットを受信できるようになります。キャプチャできるのは、転送されたパケットだけです。 capture アクションの詳細については、「キャプチャ ポートの設定」を参照してください。

log アクションは、Supervisor Engine 2 だけでサポートされます。

WAN インターフェイスに適用された VACL は、log アクションをサポートしません。

log アクションが指定されている場合、廃棄されたパケットがソフトウェアで記録されます。記録できるのは、廃棄された IP パケットだけです。

redirect アクションを指定すると、物理インターフェイスまたは EtherChannel のいずれかのインターフェイスを 5 つまで指定できます。EtherChannel メンバーまたは VLAN インターフェイスにパケットをリダイレクトするように指定できません。

Supervisor Engine 2 のシステムの場合、リダイレクト インターフェイスは、VACL アクセス マップが設定されている VLAN 内に存在する必要があります。Supervisor Engine 1 のシステムの場合、リダイレクト インターフェイスは、リダイレクトされるパケットのソース VLAN になければなりません。

action コマンドを削除するか、または指定されたリダイレクト インターフェイスを削除する場合は、no キーワードを使用します。

「VLAN アクセス マップの設定および確認の例」を参照してください。

VLAN アクセス マップの適用

VLAN アクセス マップを適用するには、次の作業を行います。

 

コマンド
目的
Router(config)# vlan filter map_name { vlan-list vlan_list | interface type 1 number 2 } CP_CmdPlain

指定した VLAN または WAN インターフェイスに VLAN アクセス マップを適用します。

Router(config)# no vlan filter map_name [ vlan-list vlan_list | interface type 1 number 2]

指定した VLAN または WAN インターフェイスから VLAN アクセス マップを削除します。

1.type = posatm、または serial

2.number = slot/port または slot/port_adapter/port:サブインターフェイスまたはチャネル グループ ディスクリプタを含むことができます。

VLAN アクセス マップを適用する場合、構文に関する次の情報に注意してください。

VLAN アクセス マップは、1 つ以上の VLAN または WAN インターフェイスに適用できます。

vlan_list パラメータには単一の VLAN ID、カンマで区切った VLAN ID のリスト、または VLAN ID の範囲( vlan_ID - vlan_ID )を指定できます。

VACL が適用された WAN インターフェイスを削除すると、インターフェイス上の VACL 設定も削除されます。

各 VLAN または WAN インターフェイスには、VLAN アクセス マップを 1 つだけ適用できます。

VLAN に適用した VACL がアクティブになるのは、レイヤ 3 VLAN インターフェイスが設定されている VLAN に対してだけです。レイヤ 3 VLAN インターフェイスがない VLAN に適用される VACL は非アクティブです。Releases 12.1(13)E 以降の場合、レイヤ 3 VLAN インターフェイスを持たない VLAN に VLAN アクセス マップを適用すると、VLAN アクセス マップをサポートするために、レイヤ 3 VLAN インターフェイスが、管理上のダウン状態で作成されます。レイヤ 3 VLAN インターフェイスの作成に失敗すると、VACL は非アクティブになります。

セカンダリ プライベート VLAN に VACL を適用できません。プライマリ プライベート VLAN に適用された VACL は、セカンダリ プライベート VLAN にも適用されます。

VLAN または WAN インターフェイスから VLAN アクセス マップを消去する場合は、 no キーワードを使用します。

「VLAN アクセス マップの設定および確認の例」を参照してください。

VLAN アクセス マップの設定の確認

VLAN アクセス マップの設定を確認するには、次の作業を行います。

 

コマンド
目的

Router# show vlan access-map [ map_name ]

VLAN アクセス マップの内容を表示して、VLAN アクセス マップの設定を確認します。

Router# show vlan filter [ access-map map_name | vlan vlan_id | interface type 3 number 4 ]

VACL と VLAN 間のマッピングの内容を表示して、VLAN アクセス マップの設定を確認します。

3.type = posatm、または serial

4.number = slot/port または slot/port_adapter/port:サブインターフェイスまたはチャネル グループ ディスクリプタを含むことができます。

VLAN アクセス マップの設定および確認の例

net_10 および any_host という名前の IP ACL が、次のように定義されていると想定します。

Router# show ip access-lists net_10
Extended IP access list net_10
permit ip 10.0.0.0 0.255.255.255 any
 
Router# show ip access-lists any_host
Standard IP access list any_host
permit any
 

次に、IP パケットを転送するよう、VLAN アクセス マップを定義および適用する例を示します。この例では、net_10 に一致する IP トラフィックは転送され、それ以外のすべての IP パケットはデフォルトの廃棄アクションによって廃棄されます。このマップは VLAN 12 ~ 16 に適用されます。

Router(config)# vlan access-map thor 10
Router(config-access-map)# match ip address net_10
Router(config-access-map)# action forward
Router(config-access-map)# exit
Router(config)# vlan filter thor vlan-list 12-16

次に、IP パケットを廃棄および記録するよう、VLAN アクセス マップを定義および適用する例を示します。この例では、net_10 に一致する IP トラフィックは廃棄および記録され、それ以外のすべての IP パケットは転送されます。

Router(config)# vlan access-map ganymede 10
Router(config-access-map)# match ip address net_10
Router(config-access-map)# action drop log
Router(config-access-map)# exit
Router(config)# vlan access-map ganymede 20
Router(config-access-map)# match ip address any_host
Router(config-access-map)# action forward
Router(config-access-map)# exit
Router(config)# vlan filter ganymede vlan-list 7-9
 

次に、IP パケットを転送およびキャプチャするよう、VLAN アクセス マップを定義および適用する例を示します。この例では、net_10 に一致する IP トラフィックは転送およびキャプチャされ、それ以外のすべての IP パケットは廃棄されます。

Router(config)# vlan access-map mordred 10
Router(config-access-map)# match ip address net_10
Router(config-access-map)# action forward capture
Router(config-access-map)# exit
Router(config)# vlan filter mordred vlan-list 2, 4-6

キャプチャ ポートの設定

VACL フィルタリングされたトラフィックをキャプチャするよう設定されたポートを、「キャプチャ ポート」といいます。


) キャプチャされたトラフィックに IEEE 802.1Q または ISL(スイッチ間リンク)タグを適用するには、キャプチャ ポートで無条件にトランクするように設定します(「ISL または 802.1Q トランクとしてのレイヤ 2 スイッチング ポートの設定」および「DTP を使用しないようにするためのレイヤ 2 トランクの設定」を参照)。


キャプチャ ポートを設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router(config)# interface {{ type 5 slot/port }

設定するインターフェイスを指定します。

ステップ 2

Router(config-if)# switchport capture allowed vlan { add | all | except | remove } vlan_list

(任意)Release 12.1(13)E 以降のリリースの場合、宛先 VLAN 単位で、キャプチャされたトラフィックをフィルタリングします。デフォルトは all です。

Router(config-if)# no switchport capture allowed vlan

設定された宛先 VLAN リストを消去して、デフォルト値に戻します( all )。

ステップ 3

Router(config-if)# switchport capture

VACL フィルタリングされたトラフィックをキャプチャするよう、ポートを設定します。

Router(config-if)# no switchport capture

インターフェイス上のキャプチャ機能をディセーブルにします。

5.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

キャプチャ ポートを設定する場合、構文に関する次の情報に注意してください。

Release 12.1(13)E 以降のリリースでは、任意のポートをキャプチャ ポートとして設定できます。これよりも前のリリースでは、キャプチャ ポートとして設定できるのは、IDS モジュールのギガビット イーサネット モニタ ポートだけです。

Release 12.1(13)E 以降のリリースでキャプチャ ポートを設定する場合、構文に関する次の情報に注意してください。

vlan_list パラメータには単一の VLAN ID、カンマで区切った VLAN ID のリスト、または VLAN ID の範囲( vlan_ID - vlan_ID )を指定できます。

キャプチャされたトラフィックをカプセル化するには、 switchport trunk encapsulation コマンドでキャプチャ ポートを設定してから(「トランクとしてのレイヤ 2 スイッチング ポートの設定」を参照)、 switchport capture コマンドを入力します。

キャプチャされたトラフィックをカプセル化しない場合は、 switchport mode access コマンドでキャプチャ ポートを設定してから(「レイヤ 2 アクセス ポートとしての LAN インターフェイスの設定」を参照)、 switchport capture コマンドを入力します。

キャプチャ ポートは、出力トラフィックだけをサポートします。トラフィックは、キャプチャ ポートからスイッチに入ることができません。

次に、インターフェイス GigabitEthernet 5/1 をキャプチャ ポートとして設定する例を示します。

Router(config)# interface gigabitEthernet 5/1
Router(config-if)# switchport capture
Router(config-if)# end
 

次に、VLAN アクセス マップの情報を表示する例を示します。

Router# show vlan access-map mordred
Vlan access-map "mordred" 10
match: ip address net_10
action: forward capture
Router#
 

次に、VACL と VLAN 間のマッピングを表示する例を示します。各 VACL マップでは、マップが設定されている VLAN、およびマップがアクティブである VLAN についての情報があります。VLAN 内にインターフェイスがない場合、VACL は、アクティブになりません。

Router# show vlan filter
VLAN Map mordred:
Configured on VLANs: 2,4-6
Active on VLANs: 2,4-6
Router#

VACL ログ機能の設定

VACL ログ機能が設定されているときに、次の状況で IP パケットが拒否されると、ログ メッセージが生成されます。

一致する最初のパケットを受信した場合

直前の 5 分間に、一致するパケットを受信した場合

5 分経過する前にスレッシュホールドに達している場合

ログ メッセージはフロー単位で生成されます。フローは、同じ IP アドレスおよびレイヤ 4(UDP または TCP)ポート番号を持つパケットとして定義されます。ログ メッセージが生成されると、タイマーおよびパケット カウントがリセットされます。

VACL ログ機能には、次の制限事項が適用されます。

Supervisor Engine 2 だけでサポートされています。

リダイレクトされたパケットにはレート制限機能が適用されるため、VACL ログ カウンタが不正確になることがあります。

拒否された IP パケットだけが記録されます。

VACL ログ機能を設定するには、VLAN アクセス マップ サブモードの action drop log コマンド アクションを使用します(設定情報については、「VACL の設定」を参照してください)。この作業をグローバル コンフィギュレーション モードで実行して、グローバル VACL ログ パラメータを指定します。

 

 
コマンド
目的

ステップ 1

Router(config)# vlan access-log maxflow max_number

ログ テーブルのサイズを設定します。maxflow の値を 0 に設定すると、ログ テーブルの内容を削除できます。デフォルトは 500、有効範囲は 0 ~ 2048 です。ログ テーブルが満杯になると、新しいフローのパケットが記録されても、ソフトウェアによって廃棄されます。

ステップ 2

Router(config)# vlan access-log ratelimit pps

VACL ログ パケットの最大リダイレクト速度を設定します。デフォルトのパケット転送速度は 2000 パケット/秒、有効範囲は 0 ~ 5000 です。制限を超えたパケットは、ハードウェアによって廃棄されます。

ステップ 3

Router(config)# vlan access-log threshold pkt_count

ログ スレッシュホールドを設定します。5 分経過する前にフローのスレッシュホールドに達すると、ログ メッセージが生成されます。デフォルトでは、スレッシュホールドは設定されていません。

ステップ 4

Router(config)# exit

VLAN アクセス マップ コンフィギュレーション モードを終了します。

ステップ 5

Router# show vlan access-log config

(任意)設定された VACL ログ プロパティを表示します。

ステップ 6

Router# show vlan access-log flow protocol {{ src_addr src_mask } | any | {host { hostname | host_ip }}} {{ dst_addr dst_mask } | any | {host { hostname | host_ip }}}

[vlan vlan_id ]

(任意)VACL ログ テーブルの内容を表示します。

ステップ 7

Router# show vlan access-log statistics

(任意)パケット数、メッセージ数などの統計情報を表示します。

次に、グローバル VACL ログ機能をハードウェア内で設定する例を示します。

Router(config)# vlan access-log maxflow 800
Router(config)# vlan access-log ratelimit 2200
Router(config)# vlan access-log threshold 4000

TCP インターセプトの設定

Supervisor Engine 2 および PFC2 の場合、TCP インターセプト フローはハードウェアで処理されます。

Supervisor Engine 1 および PFC の場合、TCP インターセプト フローはソフトウェアで処理されます。

設定手順については、次の URL にある『 Cisco IOS Security Configuration Guide Release 12.1 』 の「Traffic Filtering and Firewalls」、「Configuring TCP Intercept」を参照してください。

http://www.cisco.com/en/US/docs/ios/12_1/security/configuration/guide/scddenl.html

ユニキャスト Reverse Path Forwarding の設定

ここでは、Cisco IOS ユニキャスト Reverse Path Forwarding(RPF)(ユニキャスト RPF)について説明します。

「ユニキャスト RPF のサポートの概要」

「ユニキャスト RPF の設定」

「self-ping のイネーブル化」

「ユニキャスト RPF チェック モードの設定」

ユニキャスト RPF のサポートの概要

PFC2 は、1 つのリターン パスを持つパケットをハードウェアで処理することによってユニキャスト RPF をサポートしています。MSFC2 は、複数のリターン パスを持つトラフィックをソフトウェアで処理します(負荷分散など)。

PFC2 の場合、ユニキャスト RPF を設定し、ACL でフィルタをかける場合、PFC2 はトラフィックが ACL と一致するかどうかを判断します。PFC2 は、RPF ACL に拒否されたトラフィックを MSFC2 へ送信してユニキャスト RPF チェックを行います。


) • 通常、DoS 攻撃のパケットは拒否 ACE と一致し、ユニキャスト RPF チェックを受けるため MSFC2 に送信されます。そのため、送信されたパケットで MSFC2 は過負荷状態になる可能性があります。

PFC2 は、ユニキャスト RPF の ACL とは一致しなくても、入力セキュリティ ACL と一致するトラフィックをハードウェアでサポートします。


 

Supervisor Engine 1 および PFC の場合、MSFC または MSFC 2 は、ソフトウェアのユニキャスト RPF をサポートします。

ユニキャスト RPF の設定

設定手順については、次の URL にある『 Cisco IOS Security Configuration Guide Release 12.1 』、「Other Security Features」、「Configuring Unicast Reverse Path Forwarding」を参照してください。

http://www.cisco.com/en/US/docs/ios/12_1/security/configuration/guide/scdrpf.html

self-ping のイネーブル化

ユニキャスト RPF がイネーブルの場合、スイッチは self-ping を実行できません。self-ping をイネーブルにするには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router(config)# interface {{ vlan vlan_ID } | { type 6 slot/port } | { port-channel number }}

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# ip verify unicast source reachable-via any allow-self-ping

self-ping またはセカンダリ アドレスへの ping を実行できるように、スイッチをイネーブルにします。

Router(config-if)# no ip verify unicast source reachable-via any allow-self-ping

self-ping をディセーブルにします。

ステップ 3

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

6.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

次に、self-ping をイネーブルにする例を示します。

Router(config)# interface gigabitethernet 4/1
Router(config-if)# ip verify unicast source reachable-via any allow-self-ping
Router(config-if)# end

ユニキャスト RPF チェック モードの設定

ユニキャスト RPF には、次に示す 2 つのチェック モードがあります。

strict チェック モード:送信元 IP アドレスが Forwarding Information Base(FIB; 転送情報ベース)テーブルにあること、および入力ポートから到達可能な範囲内にあることを確認します。

exist-only チェック モード:送信元 IP アドレスが FIB テーブルにあるかどうかだけを確認します。


) ユニキャスト RPF チェック用に設定されたすべてのポートには、その時点で設定されているモードが自動的に適用されます。


ユニキャスト RPF チェック モードを設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router(config)# interface {{ vlan vlan_ID } | { type 7 slot/port } | { port-channel number }}

設定するインターフェイスを選択します。

(注) ユニキャスト RPF は次の宛先にパケットを転送する前に、入力ポートに基づいて、最適なリターン パスを確認します。

ステップ 2

Router(config-if)# ip verify unicast source reachable-via { rx | any } [ allow-default ] [ list ]

ユニキャスト RPF チェック モードを設定します。

Router(config-if)# no ip verify unicast

デフォルトのユニキャスト RPF チェック モードに戻します。

ステップ 3

Router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

7.type = ethernetfastethernetgigabitethernet、または tengigabitethernet

ユニキャスト RPF チェック モードを設定する場合、構文に関する次の情報に注意してください。

strict チェック モードをイネーブルにするには、 rx キーワードを使用します。

exist-only チェック モードをイネーブルにするには、 any キーワードを使用します。

RPF の確認にデフォルト ルートを使用できるようにするには、 allow-default キーワードを使用します。

アクセス リストを識別するには、 list オプションを使用します。

アクセス リストによってネットワークへのアクセスが拒否された場合は、スプーフィングされたパケットがポートで廃棄されます。

アクセス リストによってネットワークへのアクセスが許可された場合は、スプーフィングされたパケットが宛先アドレスに転送されます。転送されたパケットは、インターフェイスの統計情報にカウントされます。

アクセス リストにログ アクションが含まれている場合、スプーフィングされたパケットに関する情報がログ サーバに送信されます。


ip verify unicast source reachable-via コマンドを入力すると、ユニキャスト RPF チェック モードがスイッチのすべてのポートで変更されます。


次に、ポート GigabitEthernet 4/1 でユニキャスト RPF の exist-only チェック モードをイネーブルにする例を示します。

Router(config)# interface gigabitethernet 4/1
Router(config-if)# ip verify unicast source reachable-via any
Router(config-if)# end
Router#
 

次に、ポート GigabitEthernet 4/2 でユニキャスト RPF の strict チェック モードをイネーブルにする例を示します。

Router(config)# interface gigabitethernet 4/2
Router(config-if)# ip verify unicast source reachable-via rx
Router(config-if)# end
Router#
 

次に、設定を確認する例を示します。

Router# show running-config interface gigabitethernet 4/2
Building configuration...
Current configuration : 114 bytes
!
interface GigabitEthernet4/2
ip address 42.0.0.1 255.0.0.0
ip verify unicast reverse-path
no cdp enable
end
Router# show running-config interface gigabitethernet 4/1
Building configuration...
Current configuration : 114 bytes
!
interface GigabitEthernet4/1
ip address 41.0.0.1 255.0.0.0
ip verify unicast reverse-path (RPF mode on g4/1 also changed to strict-check RPF mode)
no cdp enable
end
Router#

ユニキャスト フラッド保護の設定

ユニキャスト フラッド保護機能は、ユニキャスト フラッディングによる中断からシステムを保護します。Catalyst 6500 シリーズ スイッチは、フォワーディング テーブルを使用して、VLAN 番号およびフレームの宛先 MAC アドレスに基づいて特定のポートにトラフィックを転送します。着信 VLAN のフレームの宛先 MAC アドレスに対応するエントリがない場合、フレームは、各 VLAN 内のすべてのフォワーディング ポートに送信され、フラッディングが発生します。制限フラッディングは、通常のスイッチング プロセスの一部ですが、フラッディングが連続すると、ネットワークのパフォーマンスに悪影響を及ぼします。

ユニキャスト フラッド保護機能をイネーブルにすると、システムはレート制限を超えた場合にアラートを送信するか、トラフィックをフィルタリングするか、またはスレッシュホールドを超える不明なユニキャスト フラッドの検出時にフラッドを生成しているポートをシャットダウンします。

ユニキャスト フラッド保護を設定するには、次の手順を行います。

 

 
コマンド
目的

ステップ 1

Router(config)# [no] mac-address-table unicast-flood { limit kfps } { vlan vlan } { filter timeout | alert | shutdown }

ユニキャスト フラッド保護をグローバルでイネーブルにします。

ステップ 2

Router# show mac-address-table unicast-flood

ユニキャスト フラッド保護情報を表示します。

ユニキャスト フラッド保護を設定する場合、構文に関する次の情報に注意してください。

送信元 MAC アドレスおよび VLAN 単位でユニキャスト フラッドを指定するには、limit キーワードを使用します。有効な値は 1 ~ 4000 フラッド/秒(fps)です。

ユニキャスト フラッド トラフィックをフィルタリングする時間を指定するには、 filter キーワード 使用 します。有効な値は 1 ~ 34560 分です。

ユニキャスト フラッドのフレームがフラッド レート制限を超えた場合にアラート メッセージを送信するようにシステムを設定するには、alert キーワードを使用します。

ユニキャスト フラッドのフレームがフラッド レート制限を超えたときにフラッドを生成している入力ポートをシャットダウンするようにシステムを設定するには、shutdown キーワードを使用します。

次に、ユニキャスト フラッド トラフィックを 5 分間フィルタリングして、フラッド レート制限を 3000 fps に設定する例を示します。

Router(config)# mac-address-table unicast-flood limit 3 vlan 100 filter 5
Router # show mac-address-table unicast-flood
Unicast Flood Protection status: enabled
 
Configuration:
vlan Kfps action timeout
------+----------+-----------------+----------
100 3 filter 5
 
Mac filters:
No. vlan souce mac addr. installed on time left (mm:ss)
-----+------+-----------------+------------------------------+------------------
 
Router(config)#

MAC 移動通知の設定

MAC 移動通知を設定した場合、MAC アドレスがポート間で移動するとメッセージが生成されます。


) MAC アドレス移動通知機能は、新しい MAC アドレスが CAM に追加された場合、または MAC アドレスが CAM から削除された場合は通知を生成しません。


MAC 移動通知を設定するには、次の作業を行います。

 

 
コマンド
目的

ステップ 1

Router(config)# [no] mac-address-table notification mac-move

MAC 移動通知をグローバルでイネーブルにします。

ステップ 2

Router# show mac-address-table notification mac-move

MAC 移動通知情報を表示します。

次の例では、MAC 移動通知機能をイネーブルにする方法を示します。

Router(config)# mac-address-table notification mac-move
Router# show mac-address-table notification mac-move
MAC Move Notification: enabled
Router#