ACL�ɂ��l�b�g���[�N �Z�L�����e�B�̐ݒ�

���[�^ACL

VLAN�ւ̃��C��3�C���^�[�t�F�C�X�ł���Switch Virtual Interface�iSVI�j�A�������C��3�C���^�[�t�F�C�X�A����у��C��3 EtherChannel�C���^�[�t�F�C�X�ɁA���[�^ACL��K�p���邱�Ƃ��ł��܂��B���[�^ACL�̓C���^�[�t�F�C�X�̓���̕��i���M�܂��͔��M�j�ɑ΂��ēK�p����܂��B�e����1�‚���IP�A�N�Z�X ���X�g��K�p�ł��܂��B

1�‚�ACL���������C���^�[�t�F�C�X�̕����̋@�\�Ɏg�p���邱�Ƃ��ł��܂��B�܂��A1�‚̋@�\�ɕ�����ACL���g�p���邱�Ƃ��ł��܂��B1�‚̃��[�^ACL�𕡐��̋@�\�Ŏg�p����ꍇ�A���̃��[�^ACL�͕�����e�X�g����܂��B

• �W��IP�A�N�Z�X ���X�g�́A���M���A�h���X���g�p���Ĉ�v�������s���܂��B
• �g��IP�A�N�Z�X ���X�g�́A���M���A�h���X�A����A�h���X�A����уI�v�V�����̃v���g�R�� �^�C�v�����g�p���Ĉ�v�������s���܂��B

�X�C�b�`�́A����̃C���^�[�t�F�C�X����ѕ��ɑ΂��Đݒ肳�ꂽ�@�\�Ɋ֘A�Â����Ă���ACL���e�X�g���܂��B�p�P�b�g���X�C�b�`�̃C���^�[�t�F�C�X�ɒ��M����ƁA���̃C���^�[�t�F�C�X�ɐݒ肳��Ă��邷�ׂĂ̒��M�@�\�ɑΉ�����ACL���e�X�g����܂��B�p�P�b�g�����[�e�B���O����Ă���l�N�X�g�z�b�v�ɓ]�������܂ł̊ԂɁA�o�̓C���^�[�t�F�C�X�ɐݒ肳�ꂽ���M�@�\�ɑΉ����邷�ׂĂ�ACL���e�X�g����܂��B

ACL�́AACL���̃G���g���Ƃ̈�v���ʂɊ�Â��āA�]�������‚܂��͋��ۂ��܂��B���Ƃ��΁A�A�N�Z�X ���X�g���g�p����ƁA�l�b�g���[�N�̓���̏ꏊ�ւ̃A�N�Z�X�����̃z�X�g�ɋ��‚��A�ʂ̃z�X�g�ɂ̓A�N�Z�X���֎~���邱�Ƃ��ł��܂��B ACL�ɂ��l�b�g���[�N �g���t�B�b�N�̐��� �ł́A���[�^�ւ̓�͂ɓK�p����Ă���ACL�ɂ��A�z�X�gA�͐l�����l�b�g���[�N�ւ̃A�N�Z�X�����‚���܂����A�z�X�gB�͋��ۂ���܂��B

�|�[�gACL

�X�C�b�`�̃��C��2�C���^�[�t�F�C�X�ɂ�ACL��K�p�ł��܂��B�|�[�gACL���g�p�ł���̂́A�����C���^�[�t�F�C�X�����ł��BEtherChannel�C���^�[�t�F�C�X�ł͎g�p�ł��܂���B�|�[�gACL���C���^�[�t�F�C�X�ɓK�p�ł���̂́A���M���ɑ΂��Ă݂̂ł��B���C��2�C���^�[�t�F�C�X�ł́A���̃A�N�Z�X ���X�g���T�|�[�g����Ă��܂��B

• ���M���A�h���X���g�p����W��IP�A�N�Z�X ���X�g
• ���M���A�h���X�A����A�h���X�A����уI�v�V�����̃v���g�R�� �^�C�v�����g�p����g��IP�A�N�Z�X ���X�g
• ���M��MAC�A�h���X�A����MAC�A�h���X�A����уI�v�V�����̃v���g�R�� �^�C�v�����g�p����MAC�g���A�N�Z�X ���X�g

���[�^ACL�Ɠ��l�A�X�C�b�`�̓C���^�[�t�F�C�X�ɐݒ肳��Ă���@�\�Ɋ֘A�Â����Ă���ACL���e�X�g���A�p�P�b�g��ACL���̃G���g���ƈ�v���邩�ǂ����ɂ���āA�p�P�b�g�̓]�������‚܂��͋��ۂ��܂��B�������A���C��2�C���^�[�t�F�C�X�ŁAACL��K�p�ł���̂́A���M���ɑ΂��Ă݂̂ł��B ACL�ɂ��l�b�g���[�N �g���t�B�b�N�̐��� �̗�ł́A���ׂẴ��[�N�X�e�[�V����������VLAN���ɂ���ꍇ�A���C��2�̓�͂ɓK�p����Ă���ACL�ɂ���āA�z�X�gA�͐l�����l�b�g���[�N�ւ̃A�N�Z�X�����‚���܂����A�z�X�gB�͓����l�b�g���[�N�ւ̃A�N�Z�X�����ۂ���܂��B

�|�[�gACL���g�����N �|�[�g�ɓK�p����ƁA���̃g�����N �|�[�g�ɂ��邷�ׂĂ�VLAN��ACL�ɂ��g���t�B�b�N�̃t�B���^�����O�����s����܂��B����VLAN������|�[�g�Ƀ|�[�gACL��K�p����ƁA�f�[�^VLAN�Ɖ���VLAN�̗���ł���ACL�ɂ��g���t�B�b�N�̃t�B���^�����O�����s����܂��B

�|�[�gACL���g�p����ƁAIP�A�N�Z�X ���X�g���g�p����IP�g���t�B�b�N���t�B���^�����O���AMAC�A�h���X���g�p���Ĕ�IP�g���t�B�b�N���t�B���^�����O�ł��܂��B�������C��2�C���^�[�t�F�C�X��IP�A�N�Z�X ���X�g��MAC�A�N�Z�X ���X�g�𗼕�K�p����ƁA���̃��C��2�C���^�[�t�F�C�X��IP�g���t�B�b�N�Ɣ�IP�g���t�B�b�N���t�B���^�����O�ł��܂��B

1�‚̃��C��2�C���^�[�t�F�C�X�ɓK�p�ł���̂́AIP�A�N�Z�X ���X�g1�‚�MAC�A�N�Z�X ���X�g1�‚����ł��B���ł�IP�A�N�Z�X ���X�g��MAC�A�N�Z�X ���X�g��1�‚��ݒ肳��Ă��郌�C��2�C���^�[�t�F�C�X�ɁA�V����IP�A�N�Z�X ���X�g�܂���MAC�A�N�Z�X ���X�g��K�p����ƁA�V����ACL���O�ɐݒ肵��ACL�ɒu�������܂��B

VLAN�}�b�v

VLAN�}�b�v���g�p����ƁA ���ׂĂ� �g���t�B�b�N�̃A�N�Z�X�𐧌�ł��܂��BVLAN�̓�����O���փ��[�e�B���O�����A�܂���VLAN���Ńu���b�W���O����� ���ׂẴp�P�b�g �ɑ΂��āA�X�C�b�`��VLAN�}�b�v��K�p�ł��܂��BVLAN�}�b�v�̓p�P�b�g�����S�Ƀt�B���^�����O���邽�߂ɕK���g�p����܂��B���[�^ACL�ƈقȂ�AVLAN�}�b�v�ŕ��i���M�܂��͔��M�j�͒�`����܂���B

VLAN�}�b�v��ݒ肷��ƁAIP�g���t�B�b�N�̃��C��3�A�h���X���r���邱�Ƃ��ł��܂��B���ׂĂ̔�IP�v���g�R���́AMAC VLAN�}�b�v���g�p����MAC�A�h���X�����EtherType�ɂ���ăA�N�Z�X���䂳��܂��iIP�g���t�B�b�N�ɂ́AMAC VLAN�}�b�v�ɂ��A�N�Z�X���䂪 �s���܂��� �j�BVLAN�}�b�v�̓X�C�b�`��ʉ߂���p�P�b�g�ɂ̂ݓK�p�ł��܂��B�n�u�̃z�X�g�ԁA�܂��͂��̃X�C�b�`�ɐڑ����ꂽ�ʂ̃X�C�b�`�̃z�X�g�Ԃ�ʉ߂���g���t�B�b�N�ɂ́AVLAN�}�b�v��K�p�ł��܂���B

VLAN�}�b�v���g�p����ƁA�p�P�b�g�̓]���̓}�b�v�Ɏw�肳�ꂽ�A�N�V�����Ɋ�Â��ċ��‚܂��͋��ۂ���܂��B VLAN�}�b�v�ɂ��g���t�B�b�N�̐��� �ɁAVLAN�}�b�v��K�p���āA����^�C�v�̃g���t�B�b�N��VLAN 10�̃z�X�gA����]���ł��Ȃ��悤�ɐݒ肷���������܂��B

�A�N�Z�X ���X�g�ԍ��܂��͖��O�A����уA�N�Z�X�������w�肵��ACL���쐬���܂��B

1. ACL���C���^�[�t�F�C�X�܂��͒[�����ɓK�p���܂��B�W������ъg��IP ACL��VLAN�}�b�v�ɓK�p���邱�Ƃ��ł��܂��B

�A�N�Z�X ���X�g�ԍ�

ACL��\���ԍ��́A�쐬���Ă���A�N�Z�X ���X�g�̃^�C�v�������܂��B �A�N�Z�X ���X�g�ԍ� �ɁA�A�N�Z�X ���X�g�ԍ�����ёΉ�����A�N�Z�X���X�g �^�C�v�A�X�C�b�`�ł̃A�N�Z�X ���X�g�ɑ΂���T�|�[�g�̗L���������܂��BCatalyst 3550�X�C�b�`�ł́AIP�W�������IP�g���A�N�Z�X ���X�g���T�|�[�g����Ă��܂��i�ԍ���1�`199�A1300�`2699�j�B

�ԍ��w��W��ACL�̍쐬

�ԍ��w��̕W��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�ԍ��w��g��ACL�̍쐬

�W��ACL�̏ꍇ�A��v��ɂ͑��M���A�h���X�݂̂��g�p����܂����A�g��ACL�̏ꍇ�́A��v�����ɑ��M���A�h���X����ш���A�h���X���g�p������A�I�v�V�����̃v���g�R�� �^�C�v�����g�p���Ă��ו��ɂ킽�鐧����s�����Ƃ��ł��܂��B�ԍ��w��̊g��ACL���쐬�������ACE��V���ɍ쐬����Ƃ��́A���X�g�̖����ɐV����ACE���z�u����邱�Ƃɒ��ӂ��Ă��������B���X�g���Ăѕ��בւ�����A�ԍ����w�肳�ꂽACL�̓���̈ʒu��ACE��lj��܂��͍폜���邱�Ƃ͂ł��܂���B

�ꕔ�̃v���g�R���ɂ́A��p�̃p�����[�^����уL�[���[�h���g�p���邱�Ƃ��ł��܂��B

�g��ACL�ł́A����IP�v���g�R�����T�|�[�g����Ă��܂��i�v���g�R�� �L�[���[�h�͊��ʓ��̑����Ŏ����Ă��܂��j�B

Authentication Header Protocol�i ahp �j�AEnhanced Interior Gateway Routing Protocol�i eigrp �j�AEncapsulation Security Payload�i esp �j�AGeneric Routing Encapsulation�i gre �j�AInternet Control Message Protocol�i icmp �j�AInternet Group Management Protocol�i igmp �j�AInterior Gateway Routing Protocol�i igrp �j�A�C�ӂ�Interior Protocol�i ip �j�AIP in IP�g���l�����O�i ipinip �j�AKA9Q NOS�݊�IP over IP�g���l�����O�i nos �j�AOpen Shortest Path First���[�e�B���O�i ospf �j�APayload Compression Protocol�i pcp �j�AProtocol Independent Multicast�i pim �j�ATransmission Control Protocol�i tcp �j�A�܂���User Datagram Protocol�i udp �j

ICMP�G�R�[�����̓t�B���^�����O�ł��܂���B���̂��ׂĂ�ICMP�R�[�h�܂��̓^�C�v�̓t�B���^�����O�”\�ł��B

�e�v���g�R���Ɋ֘A����L�[���[�h�̏ڍׂɂ‚��ẮA�w Cisco IP and IP Routing Command Reference IOS �xRelease 12.1���Q�Ƃ��Ă��������B

Catalyst 3550�X�C�b�`�ŁA�_�C�i�~�b�N �A�N�Z�X ���X�g��ċA�A�N�Z�X ���X�g�̓T�|�[�g����܂���B�܂��A�ŏ��R�X�g��ToS�r�b�g�Ɋ�Â��t�B���^�����O���T�|�[�g����܂���B

�T�|�[�g����Ă���p�����[�^�́ATCP�AUDP�AICMP�AIGMP�A�܂��͑���IP�́A�����ꂩ�̃J�e�S���ɃO���[�v�����ł��܂��B

�g��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

���O�w��̕W������ъg��IP ACL�̍쐬

IP ACL�́A�ԍ��łȂ��p�����i���O�j�Ŏw�肷�邱�Ƃ��ł��܂��B���O�w���ACL���g�p����ƁA�ԍ��w��̃A�N�Z�X ���X�g���g�p����ꍇ����������IP�A�N�Z�X ���X�g���X�C�b�`�ɐݒ肷�邱�Ƃ��ł��܂��B�A�N�Z�X ���X�g��ԍ��łȂ����O�Ŏw�肷��ꍇ�́A���[�h����уR�}���h�\�����኱�قȂ�܂��B�������AIP�A�N�Z�X ���X�g���g�p���邷�ׂẴR�}���h�ŁA���O�w��̃A�N�Z�X ���X�g���g�p�ł���Ƃ͌���܂���B

�W���܂��͊g��ACL�Ɏw�肷�閼�O�ɂ́A�T�|�[�g����Ă���A�N�Z�X ���X�g�ԍ��͈͓��̔ԍ����w�肷�邱�Ƃ��ł��܂��B�‚܂�A�W��IP ACL�̖��O�ɂ�1�`99���A�g��IP ACL�̖��O�ɂ�100�`199���g�p�ł��܂��B�ԍ��w��ACL�ł͂Ȃ����O�w��ACL���g�p���邱�ƂŁA���O�w�胊�X�g����•ʂɃG���g�����폜���邱�Ƃ��”\�ƂȂ�܂��B

���O�w���ACL��ݒ肷��O�ɁA���Ɏ������ӎ�������ѐ����������l�����Ă��������B

• �ԍ��w���ACL���w��ł��邷�ׂẴR�}���h�ŁA���O�w���ACL���w��ł���Ƃ͌���܂���B�C���^�[�t�F�C�X�̃p�P�b�g �t�B���^����у��[�g �t�B���^�p��ACL�AVLAN�}�b�v�ɂ͖��O���g�p���邱�Ƃ��ł��܂��B
• �W��ACL����ъg��ACL�ɁA�������O��ݒ肷�邱�Ƃ͂ł��܂���B
• �ԍ��w���ACL���g�p�ł��܂��i �W������ъg��IP ACL�̍쐬 ���Q�Ɓj�B
• VLAN�}�b�v�ɂ́A�W��ACL����ъg��ACL�i���O�w��܂��͔ԍ��w��j��K�p�ł��܂��B

���O�w��̕W��ACL���쐬����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

ACL�ł̎��Ԕ͈͂̎g�p�@

�j���ю����Ɋ�Â��Ċg��ACL��I��I�ɓK�p����ɂ́A time-range �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�ŏ��Ɏ��Ԕ͈̖͂��O���`���A���Ԕ͈͂̎����A��t�A�܂��͗j���ݒ肵�܂��B���ɁAACL��K�p����Ƃ��Ɏ��Ԕ͈͖����͂��A�A�N�Z�X ���X�g�ɐ�����K�p���܂��B���Ԕ͈͂��g�p���邱�ƂŁAACL�̋��ƒX�e�[�g�����g�܂��͋��ۃX�e�[�g�����g���L��Ȏ���i�w���ԓ��A�w��j��Ȃǁj���`���邱�Ƃ��ł��܂��B time-range �L�[���[�h����ш�ɂ‚��ẮA�O�q�� �W������ъg��IP ACL�̍쐬 ����� ���O�w��̕W������ъg��IP ACL�̍쐬 �ɋL�ڂ���Ă���A���O�w�肨��єԍ��w��̊g��ACL�Ɋւ���^�X�N�\���Q�Ƃ��Ă��������B

���Ԕ͈͂��g�p���闘�_�̂����A2�‚����Ɏ����܂��B

• �A�v���P�[�V�����Ȃǂ̃��\�[�X�iIP�A�h���X�ƃ}�X�N�̃y�A�A����у|�[�g�ԍ��Ŏ��ʁj�ւ̃��[�U �A�N�Z�X����萳�m�ɋ��‚܂��͋��ۂł��܂��B
• ���O ���b�Z�[�W�𐧌�ł��܂��BACL�G���g�����g�p���ē���̎����Ɋւ��Ă̂݃g���t�B�b�N�����M���O�ł��邽�߁A�s�[�N���Ԃɐ�������鑽���̃��O�𕪐͂��Ȃ��Ă��A�ȒP�ɃA�N�Z�X�����ۂ��邱�Ƃ��ł��܂��B

���Ԕ͈͂ɂ́A�X�C�b�`�̃V�X�e�� �N���b�N���g�p����邽�߁A�M���ł���N���b�N �\�[�X���K�v�ł��B�X�C�b�` �N���b�N�𓯊��ɂ́ANetwork Time Protocol�iNTP�j���g�p���Ă��������B�ڍׂɂ‚��ẮA �V�X�e����̊Ǘ� ���Q�Ƃ��Ă��������B

ACL��time-range�p�����[�^��ݒ肷��ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

ACL�ւ̃R�����g�̑}��

remark �L�[���[�h���g�p����ƁA�G���g���Ɋւ���R�����g�i���l�j��C�ӂ�IP�W������ъg��ACL�ɒlj����邱�Ƃ��ł��܂��B�R�����g��lj�����ƁAACL�̔c������ё��������ȒP�ɂȂ�܂��B�e�R�����g�s�ɂ́A�ő�100�����܂œ�͂ł��܂��B

�R�����g�͋��ƒX�e�[�g�����g�܂��͋��ۃX�e�[�g�����g�̑O��Ɏw��ł��܂��B�R�����g�ɑΉ����鋖�ƒX�e�[�g�����g�܂��͋��ۃX�e�[�g�����g�����m�ɂȂ�悤�ɁA�R�����g�̋L�q�ʒu�𓝈ꂷ��K�v������܂��B����������邽�߁A���Ƃ��΁A���ƒX�e�[�g�����g�܂��͋��ۃX�e�[�g�����g�̑O�ɋL�q����Ă���R�����g�ƁA��ɋL�q����Ă���R�����g�����݂��Ȃ��悤�ɂ��܂��B

�ԍ��w���IP�W��ACL�܂��͊g��ACL�ɃR�����g��lj�����ꍇ�́A access-list access-list number remark remark �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�R�����g���폜����ɂ́A��L�̃R�}���h�� no �`�����g�p���܂��B

���̗�ł́AJones�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋��‚���܂����ASmith�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋֎~����܂��B

Switch(config)# access-list 1 remark Permit only Jones workstation through

Switch(config)# access-list 1 permit 171.69.2.88

Switch(config)# access-list 1 remark Do not allow Smith workstation through

Switch(config)# access-list 1 deny 171.69.3.13

���O�w���IP ACL�ɃG���g������ꍇ�́A remark �A�N�Z�X ���X�g �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�R�����g���폜����ɂ́A��L�̃R�}���h�� no �`�����g�p���܂��B

���̗�ł́AJones�T�u�l�b�g�ł̔��MTelnet�̎g�p���֎~����܂��B

Switch(config)# ip access-list extended telnetting

Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out

Switch(config-ext-nacl)# deny tcp host 171.69.2.88 any eq telnet

�[�����Ɋւ���A�N�Z�X�������폜����ɂ́A no access-class access-list-number { in | out }���C�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

���C��2�܂��̓��C��3�C���^�[�t�F�C�X�ւ̃A�N�Z�X�𐧌䂷�邽�߂�IP�A�h���X ���X�g��K�p����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B

�w�肳�ꂽ�A�N�Z�X �O���[�v���폜����ɂ́A no ip access-group { access-list-number | name } { in | out }�C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

���ɁAGigabit Ethernet 0/3�C���^�[�t�F�C�X�ɃA�N�Z�X ���X�g2��K�p���A�C���^�[�t�F�C�X�ɓ��p�P�b�g���t�B���^�����O�����������܂��B

Switch(config)# interface gigabitethernet0/3

Router(config-if)# ip access-group 2 in

ip access-group �C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h�����C��3�C���^�[�t�F�C�X�iSVI�A���C��3 EtherChannel�A�܂��̓��[�e�b�h �|�[�g�j�ɓK�p����ɂ́A���̃C���^�[�t�F�C�X��IP�A�h���X���ݒ肳��Ă���K�v������܂��B���C��3�A�N�Z�X �O���[�v�́ACPU�̃��C��3�v���Z�X�ɂ���ă��[�e�B���O�܂��͎�M�����p�P�b�g���t�B���^�����O���܂��B���̃O���[�v�́AVLAN���Ńu���b�W���O�����p�P�b�g�ɉe����^���܂���B

���MACL�̏ꍇ�A�X�C�b�`�͎�M�����p�P�b�g��ACL�Əƍ����܂��BACL�ɂ���ăp�P�b�g�����‚��ꂽ�ꍇ�́A�p�P�b�g�̏��������s����܂��B���ۂ��ꂽ�ꍇ�A�p�P�b�g�͔p���܂��B

���MACL�̏ꍇ�i���C��3�C���^�[�t�F�C�X�̂݁j�A�X�C�b�`�͐���ΏۃC���^�[�t�F�C�X�ɒ��M���A���[�e�B���O���ꂽ�p�P�b�g��ACL�Əƍ����܂��B�p�P�b�g�����‚��ꂽ�ꍇ�A�p�P�b�g�͑��M����܂��B���ۂ��ꂽ�ꍇ�A�p�P�b�g�͔p���܂��B

ICMP���B�s�\���b�Z�[�W�𑗐M����悤�ɐݒ肳�ꂽ��̓C���^�[�t�F�C�X�Ńp�P�b�g���p��ꂽ�ꍇ�́A���̌�������̓C���^�[�t�F�C�X��ACL�܂��͔��M�C���^�[�t�F�C�X��ACL�̂�����ł����Ă��A�����̃��b�Z�[�W�����M����܂��BICMP���B�s�\���b�Z�[�W�͒ʏ�A��̓C���^�[�t�F�C�X1�‚ɂ‚��A0.5�b���Ƃ�1�‚�����������܂��B�������A���̐ݒ�� ip icmp rate-limit unreachable �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���ĕύX���邱�Ƃ��ł��܂��B

����`��ACL���C���^�[�t�F�C�X�ɓK�p����ƁA�X�C�b�`��ACL���C���^�[�t�F�C�X�ɓK�p����Ă��Ȃ��Ɣ��f���ď������s���A���ׂẴp�P�b�g�����‚���Ă��܂��܂��B�l�b�g���[�N �Z�L�����e�B�̂��߁A����`��ACL���g�p����ꍇ�͒��ӂ��Ă��������B

���[�^ACL�ɂ��g���t�B�b�N�̐���

���̗�ł́A�W��ACL���g�p���ă|�[�g0/3����T�[�oB�ɒ��M����g���t�B�b�N���t�B���^�����O���A�o�����̑��M���A�h���X172.20.128.64�`172.20.128.95���瑗�M�����g���t�B�b�N�݂̂����‚��܂��B

Switch(config)# access-list 6 permit 172.20.128.64 0.0.0.31

Switch(config)# end

Switch# show access-lists

Standard IP access list 6

permit 172.20.128.64, wildcard bits 0.0.0.31

Switch(config)# interface gigabitethernet0/3

Switch(config-if)# ip access-group 6 out

����ACL�́A�w�肳�ꂽ���M���A�h���X�̃��[�e�b�h �|�[�g0/3���瑗�M�����g���t�B�b�N�ɓK�p����܂��B

���̗�ł́A�g��ACL���g�p���ăT�[�oB����|�[�g0/3�ɒ��M����g���t�B�b�N���t�B���^�����O���A�C�ӂ̑��M���A�h���X�i���̏ꍇ�̓T�[�oB�j����o�����̈���A�h���X172.20.128.64�`172.20.128.95�ɑ��M�����g���t�B�b�N�݂̂����‚��܂��B

Switch(config)# access-list 106 permit ip any 172.20.128.64 0.0.0.31

Switch(config)# end

Switch# show access-lists

Extended IP access list 106

permit ip any 172.20.128.64 0.0.0.31

Switch(config)# interface gigabitethernet0/3

Switch(config-if)# ip access-group 106 in

����ACL�́A���[�e�b�h �|�[�g0/3�ɒ��M����g���t�B�b�N�ɓK�p����A�w��̈���A�h���X�ɑ��M�����g���t�B�b�N�݂̂����‚��܂��B�g��ACL���g�p����ꍇ�́A���M������ш�����̑O�ɁA�v���g�R���iIP�j���͂���K�v������܂��B

�ԍ��w��ACL

���̗�̃l�b�g���[�N36.0.0.0�́A2�Ԗڂ̃I�N�e�b�g���T�u�l�b�g���w�肷��N���XA�l�b�g���[�N�ł��B�‚܂�A�T�u�l�b�g �}�X�N��255.255.0.0�ł��B�l�b�g���[�N36.0.0.0�A�h���X��3�Ԗڂ����4�Ԗڂ̃I�N�e�b�g�́A����̃z�X�g���w�肵�܂��B�A�N�Z�X ���X�g2���g�p����Ă��邽�߁A�T�u�l�b�g48�̃A�h���X��1�‹��‚���A�����T�u�l�b�g�̑��̃A�h���X�͂��ׂċ��ۂ���܂��B���̃A�N�Z�X ���X�g�̍ŏI�s�́A���̂��ׂẴl�b�g���[�N36.0.0.0�T�u�l�b�g��̃A�h���X�����‚���邱�Ƃ������܂��B����ACL�́AGigabit Ethernet 0/1�C���^�[�t�F�C�X�ɓ��p�P�b�g�ɓK�p����܂��B

Switch(config)# access-list 2 permit 36.48.0.3

Switch(config)# access-list 2 deny 36.48.0.0 0.0.255.255

Switch(config)# access-list 2 permit 36.0.0.0 0.255.255.255

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group 2 in

�g��ACL

���̗�̐擪�s�́A1023�����傫������|�[�g�ւ̒��MTCP�ڑ������‚��܂��B2�Ԗڂ̍s�́A�z�X�g128.88.1.2��SMTP�|�[�g�ւ̒��MTCP�ڑ������‚��܂��B3�Ԗڂ̍s�́A�G���[ �t�B�[�h�o�b�N�p�̒��MICMP���b�Z�[�W�����‚��܂��B

Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 gt 1023

Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25

Switch(config)# access-list 102 permit icmp any any

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group 102 in

�g��ACL���g�p����ʂ̗�Ƃ��āA�C���^�[�l�b�g�ɐڑ����ꂽ�l�b�g���[�N��̔C�ӂ̃z�X�g�ɁA�C���^�[�l�b�g�̔C�ӂ̃z�X�g�ւ�TCP�ڑ���ݒ肷��ꍇ���l���܂��B�������AIP�z�X�g�ɂ́A��p���[�� �z�X�g�̃��[���iSMTP�j�|�[�g�ւ̐ڑ��������A�l�b�g���[�N��̃z�X�g�ւ�TCP�ڑ���ݒ肵�Ȃ����̂Ƃ��܂��B

SMTP�́A�ڑ��̈�[�ł�TCP�|�[�g25�A������[�ł̓����_���ȃ|�[�g�ԍ����g�p���܂��B�ڑ����Ă���Ԃ́A�����|�[�g�ԍ����g�p����܂��B�C���^�[�l�b�g���璅�M���郁�[�� �p�P�b�g�̈���|�[�g��25�ł��B���M�p�P�b�g�̃|�[�g�ԍ��͗\�񂳂�Ă��܂��B���[�^�̔w��ɒu���ꂽ���S�ȃV�X�e���ł́A��Ƀ|�[�g25�ł̃��[���ڑ����g�p����Ă��邽�߁A���M�T�[�r�X�Ɣ��M�T�[�r�X���•ʂɐ���ł��܂��BACL�͔��M�C���^�[�t�F�C�X�̓��ACL����ђ��M�C���^�[�t�F�C�X�̏o��ACL�Ƃ��Đݒ肳���K�v������܂��B

���̗�ł́A�l�b�g���[�N�̓A�h���X��128.88.0.0�̃N���XB�l�b�g���[�N�ŁA���[�� �z�X�g �A�h���X��128.88.1.2�ł��B established �L�[���[�h�́A�m�����ꂽ�ڑ���\������TCP��p�̃L�[���[�h�ł��BTCP�f�[�^�O������ACK�܂���RST�r�b�g���ݒ肳��A�p�P�b�g����̐ڑ��ɑ����Ă��邱�Ƃ���������ƁA��v�Ƃ݂Ȃ���܂��BGigabit Ethernet 0/1�C���^�[�t�F�C�X�́A���[�^���C���^�[�l�b�g�ɐڑ�����C���^�[�t�F�C�X�ł��B

Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established

Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group 102 in

���O�w��ACL

���̂悤�ɐݒ肷��ƁA internet_filter �Ƃ������O�̕W��ACL����� marketing_group �Ƃ������O�̊g��ACL���쐬����܂��B internet_filter ACL�́A���M���A�h���X1.2.3.4���瑗�M����邷�ׂẴg���t�B�b�N�����‚��܂��B

Switch(config)# ip access-list standard Internet_filter

Switch(config-ext-nacl)# permit 1.2.3.4

Switch(config-ext-nacl)# exit

marketing_group ACL�́A����A�h���X�ƈ��惏�C���h�J�[�h�̒l171.69.0.0 0.0.255.255�ւ̔C�ӂ�TCP Telnet�g���t�B�b�N�����‚��A���̑���TCP�g���t�B�b�N�����ۂ��܂��B�܂��A�C�ӂ�ICMP�g���t�B�b�N�����‚��A�C�ӂ̑��M������A����|�[�g��1024��菬����171.69.0.0�`179.69.255.255�̈���A�h���X�֑��M�����UDP�g���t�B�b�N�����ۂ��܂��B����ȊO�̂��ׂĂ�IP�g���t�B�b�N�͋��ۂ���A���ʂ��������O���\������܂��B

Switch(config)# ip access-list extended marketing_group

Switch(config-ext-nacl)# permit tcp any 171.69.0.0 0.0.255.255 eq telnet

Switch(config-ext-nacl)# deny tcp any any

Switch(config-ext-nacl)# permit icmp any any

Switch(config-ext-nacl)# deny udp any 171.69.0.0 0.0.255.255 lt 1024

Switch(config-ext-nacl)# deny ip any any log

Switch(config-ext-nacl)# exit

���Ɏ���ACL�́A���C��3�|�[�g�Ƃ��Đݒ肳�ꂽGigabit Ethernet 0/5�|�[�g�ɓK�p����܂��B Internet_filter ACL�͒��M�g���t�B�b�N�ɁA marketing_group ACL�͔��M�g���t�B�b�N�ɓK�p����܂��B

Switch(config)# interface gigabitethernet0/5

Switch(config-if)# no switchport

Switch(config-if)# ip address 2.0.5.1 255.255.255.0

Switch(config-if)# ip access-group Internet_filter out

Switch(config-if)# ip access-group marketing_group in

...

IP ACL�ɓK�p����鎞�Ԕ͈�

���̗�ł́A���j�����j��̌ߑO8���`�ߌ�6���̊ԁAIP��Hypertext Transfer Protocol�iHTTP�j�g���t�B�b�N�����ۂ���܂��BUDP�g���t�B�b�N�́A�y�j���ѓ�j��̐��߁`�ߌ�8���̊Ԃ̂݋��‚���܂��B

Switch(config)# time-range no-http

Switch(config)# periodic weekdays 8:00 to 18:00

!

Switch(config)# time-range udp-yes

Switch(config)# periodic weekend 12:00 to 20:00

!

Switch(config)# ip access-list extended strict

Switch(config-ext-nacl)# deny tcp any any eq www time-range no-http

Switch(config-ext-nacl)# permit udp any any time-range udp-yes

!

Switch(config-ext-nacl)# exit

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group strict in

�R�����g�t����IP ACL�G���g��

���Ɏ����ԍ��w��ACL�̗�ł́AJones�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋��‚���܂����ASmith�����L���郏�[�N�X�e�[�V�����̃A�N�Z�X�͋֎~����܂��B

Switch(config)# access-list 1 remark Permit only Jones workstation through

Switch(config)# access-list 1 permit 171.69.2.88

Switch(config)# access-list 1 remark Do not allow Smith workstation through

Switch(config)# access-list 1 deny 171.69.3.13

���Ɏ����ԍ��w��ACL�̗�ł́AWinter�����Smith���[�N�X�e�[�V�����ł�Web�{�����֎~����܂��B

Switch(config)# access-list 100 remark Do not allow Winter to browse the web

Switch(config)# access-list 100 deny host 171.69.3.85 any eq www

Switch(config)# access-list 100 remark Do not allow Smith to browse the web

Switch(config)# access-list 100 deny host 171.69.3.13 any eq www

���Ɏ������O�w��ACL�̗�ł́AJones�T�u�l�b�g�̃A�N�Z�X���֎~����܂��B

Switch(config)# ip access-list standard prevention

Switch(config-std-nacl)# remark Do not allow Jones subnet through

Switch(config-std-nacl)# deny 171.69.0.0 0.0.255.255

���Ɏ������O�w��ACL�̗�ł́AJones�T�u�l�b�g�ł̔��MTelnet�̎g�p���֎~����܂��B

Switch(config)# ip access-list extended telnetting

Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out

Switch(config-ext-nacl)# deny tcp 171.69.0.0 0.0.255.255 any eq telnet

ACL�̃��M���O

�|�[�gACL�ł̃��M���O�̓T�|�[�g����܂���B

���[�^ACL�ł́A2��ނ̃��M���O���T�|�[�g����Ă��܂��B log �L�[���[�h���w�肷��ƁA�G���g���ƈ�v����p�P�b�g�Ɋւ��郍�O�ʒm���b�Z�[�W���R���\�[���ɑ��M����܂��B log-input �L�[���[�h���w�肷��ƁA���O �G���g���ɓ�̓C���^�[�t�F�C�X���lj�����܂��B

���̗�ł́A���O�w��̕W���A�N�Z�X ���X�g stan1 ��10.1.1.0 0.0.0.255����̃g���t�B�b�N�����ۂ��A���̑��̂��ׂĂ̑��M������̃g���t�B�b�N�����‚��܂��B log �L�[���[�h���w�肳��Ă��܂��B

Switch(config)# ip access-list standard stan1

Switch(config-std-nacl)# deny 10.1.1.0 0.0.0.255 log

Switch(config-std-nacl)# permit any log

Switch(config-std-nacl)# exit

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group stan1 in

Switch(config-if)# end

Switch# show logging

Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)

Console logging: level debugging, 37 messages logged

Monitor logging: level debugging, 0 messages logged

Buffer logging: level debugging, 37 messages logged

File logging: disabled

Trap logging: level debugging, 39 message lines logged

Log Buffer (4096 bytes):

00:00:48: NTP: authentication delay calculation problems

�i�e�L�X�g�o�͂͏ȗ��j

00:09:34:%SEC-6-IPACCESSLOGS:list stan1 permitted 0.0.0.0 1 packet

00:09:59:%SEC-6-IPACCESSLOGS:list stan1 denied 10.1.1.15 1 packet

00:10:11:%SEC-6-IPACCESSLOGS:list stan1 permitted 0.0.0.0 1 packet

00:15:33:%SEC-6-IPACCESSLOGS:list stan1 denied 10.1.1.15 2009 packets

���ɁA���O�w��̊g���A�N�Z�X ���X�g ext1 �ɂ���āA�C�ӂ̑��M������10.1.1.0 0.0.0.255�ւ�ICMP�p�P�b�g�����‚��A���ׂĂ�UDP�p�P�b�g�����ۂ����������܂��B

Switch(config)# ip access-list extended ext1

Switch(config-ext-nacl)# permit icmp any 10.1.1.0 0.0.0.255 log

Switch(config-ext-nacl)# deny udp any any log

Switch(config-std-nacl)# exit

Switch(config)# interface gigabitethernet0/3

Switch(config-if)# ip access-group ext1 in

���ɁA�g��ACL�̃��O�̗�������܂��B

01:24:23:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 1 packet

01:25:14:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 7 packets

01:26:12:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 1 packet

01:31:33:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 8 packets

IP ACL�̂��ׂẴ��M���O �G���g����%SEC-6-IPACCESSLOG�ŊJ�n���܂��B�G���g���̌`���́A��v����ACL��A�N�Z�X �G���g���̎�ނɉ����Ď኱�قȂ�܂��B

���ɁA log-input �L�[���[�h���w�肵���ꍇ�̏o�̓��b�Z�[�W�̗�������܂��B

00:04:21:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 (Vlan1 0001.42ef.a400) -> 10.1.1.61 (0/0), 1 packet

log �L�[���[�h���g�p���ē�����ނ̃p�P�b�g�Ɋւ��郍�O ���b�Z�[�W���쐬�����ꍇ�A���O ���b�Z�[�W�ɂ͓�̓C���^�[�t�F�C�X��񂪒lj�����܂���B

00:05:47:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 -> 10.1.1.61 (0/0), 1 packet

�w�肳�ꂽ�A�N�Z�X �O���[�v���폜����ɂ́A no mac access-group { name } in �C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

���ɁAGigabit Ethernet 0/3�C���^�[�t�F�C�X�ɃA�N�Z�X ���X�g2��K�p���A�C���^�[�t�F�C�X�ɓ��p�P�b�g���t�B���^�����O�����������܂��B

Switch(config)# interface gigabitethernet0/3

Router(config-if)# mac access-group mac1 in

mac access-group �C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h�́A�������C��2�C���^�[�t�F�C�X�ɓK�p���ꂽ�ꍇ�̂ݗL��ƂȂ�܂��B

���MACL�̏ꍇ�A�X�C�b�`�͎�M�����p�P�b�g��ACL�Əƍ����܂��BACL�ɂ���ăp�P�b�g�����‚��ꂽ�ꍇ�́A�p�P�b�g�̏��������s����܂��B���ۂ��ꂽ�ꍇ�A�p�P�b�g�͔p���܂��B

����`��ACL���C���^�[�t�F�C�X�ɓK�p����ƁA�X�C�b�`��ACL���C���^�[�t�F�C�X�ɓK�p����Ă��Ȃ��Ɣ��f���ď������s���A���ׂẴp�P�b�g�����‚���Ă��܂��܂��B�l�b�g���[�N �Z�L�����e�B�̂��߁A����`��ACL���g�p����ꍇ�͒��ӂ��Ă��������B

���C��2�C���^�[�t�F�C�X��ACL�i�|�[�gACL�j���K�p����Ă���X�C�b�`��VLAN�ɂ́AVLAN�}�b�v��K�p�ł��܂���B

�����ł́A���̓��e�ɂ‚��Đ������܂��B

• VLAN�}�b�v�ݒ莞�̒��ӎ���
• VLAN�}�b�v�̍쐬
• VLAN�ւ�VLAN�}�b�v�̓K�p
• �l�b�g���[�N�ł�VLAN�}�b�v�̎g�p�@

�}�b�v���폜����ɂ́A no vlan access-map name �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

�}�b�v���̒P��̃V�[�P���X �G���g�����폜����ɂ́A no vlan access-map name number �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

�f�t�H���g�̃A�N�V�����ł���]�����s���ɂ́A no action �A�N�Z�X�}�b�v �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

VLAN�}�b�v�ł́A�����permit�܂���deny�L�[���[�h�͎g�p����܂���BVLAN�}�b�v���g�p���ăp�P�b�g�����ۂ���ɂ́A�p�P�b�g�Ɣ�r����ACL���쐬���A�A�N�V������p��ɐݒ肵�܂��BACL��permit�L�[���[�h���w�肵���ꍇ�͈�v�Ƃ݂Ȃ���܂��BACL��deny�L�[���[�h���w�肵���ꍇ�͈�v���Ȃ��Ƃ݂Ȃ���܂��B

ACL�����VLAN�}�b�v�̗�

���ɁA����̖ړI��ACL�����VLAN�}�b�v���쐬�����������܂��B

���C��2�C���^�[�t�F�C�X��ACL�i�|�[�gACL�j���K�p����Ă���X�C�b�`��VLAN�ɂ́AVLAN�}�b�v��K�p�ł��܂���B

VLAN�}�b�v���폜����ɂ́A no vlan filter mapname vlan-list list �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B

���ɁAVLAN�}�b�v1��VLAN 20�`22�ɓK�p�����������܂��B

Switch(config)# vlan filter map 1 vlan-list 20-22

�z��N���[�[�b�g�̍\��

�z��N���[�[�b�g�\���ɂ�����Catalyst 3550�X�C�b�`�ł́A���[�e�B���O���C�l�[�u���łȂ��”\��������܂��B�������A���̍\���ł�VLAN�}�b�v�����QoS����ACL�̓T�|�[�g����Ă��܂��B �z��N���[�[�b�g�̍\�� �ł́A�z�X�gX����уz�X�gY�͈قȂ�VLAN���ɂ���A�z��N���[�[�b�g �X�C�b�`A����уX�C�b�`C�ɐڑ�����Ă���Ƒz�肵�Ă��܂��B�z�X�gX����z�X�gY�ւ̃g���t�B�b�N�́A���[�e�B���O���C�l�[�u���ɐݒ肳�ꂽ�X�C�b�`B�ɂ���čŏI�I�Ƀ��[�e�B���O����܂��B�z�X�gX����z�X�gY�ւ̃g���t�B�b�N�́A�g���t�B�b�N�̃G���g�� �|�C���g�ł���X�C�b�`A�ŃA�N�Z�X����ł��܂��B

HTTP�g���t�B�b�N���z�X�gX����z�X�gY�փX�C�b�`���O���Ȃ��ꍇ�́A�z�X�gX�iIP�A�h���X10.1.1.32�j����z�X�gY�iIP�A�h���X10.1.1.34�j�ւ�HTTP�g���t�B�b�N���X�C�b�`B�Ƀu���b�W���O���ꂸ�A���ׂăX�C�b�`A�Ŕp����悤�ɃX�C�b�`A��VLAN�}�b�v��ݒ肷�邱�Ƃ��ł��܂��B

�܂��AHTTP�|�[�g�ł��ׂĂ�TCP�g���t�B�b�N�����i��v�j����IP�A�N�Z�X ���X�g http ���`���܂��B

Switch(config)# ip access-list extended http

Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www

Switch(config-ext-nacl)# exit

���ɁA http �A�N�Z�X ���X�g�ƈ�v����g���t�B�b�N���p���A���̑��̂��ׂĂ�IP�g���t�B�b�N���]�������悤�ɁAVLAN�A�N�Z�X�}�b�v map2 ���쐬���܂��B

Switch(config)# vlan access-map map2 10

Switch(config-access-map)# match ip address http

Switch(config-access-map)# action drop

Switch(config-access-map)# exit

Switch(config)# ip access-list extended match_all

Switch(config-ext-nacl)# permit ip any any

Switch(config-ext-nacl)# exit

Switch(config)# vlan access-map map2 20

Switch(config-access-map)# match ip address match_all

Switch(config-access-map)# action forward

���ɁAVLAN�A�N�Z�X�}�b�v map2 ��VLAN 1�ɓK�p���܂��B

Switch(config)# vlan filter map2 vlan 1

�ʂ�VLAN�ɂ���T�[�o�ւ̃A�N�Z�X����

�ʂ�VLAN�ɂ���T�[�o�ւ̃A�N�Z�X�𐧌��ł��܂��B���Ƃ��΁AVLAN10���̃T�[�o10.1.1.100�ɑ΂��ẮA���̂悤�ɃA�N�Z�X�𐧌�����K�v������܂��i �ʂ�VLAN�ɂ���T�[�o�ւ̃A�N�Z�X���� ���Q�Ɓj�B

• VLAN20���̃T�u�l�b�g10.1.2.0/8�ɂ���z�X�g�̃A�N�Z�X���֎~���܂��B
• VLAN10���̃z�X�g10.1.1.4�����10.1.1.8�̃A�N�Z�X���֎~���܂��B

���̗�ł́A�T�u�l�b�g10.1.2.0/8���̃z�X�g�A�z�X�g10.1.1.4�A����уz�X�g10.1.1.8�̃A�N�Z�X�����ۂ��A���̑���IP�g���t�B�b�N�����‚���VLAN�}�b�vSERVER 1���쐬���āA�ʂ�VLAN���̃T�[�o�ւ̃A�N�Z�X�����ۂ����@�������Ă��܂��B�Ō�ɁAVLAN�}�b�vSERVER1��VLAN 10�ɓK�p���܂��B

ACL����уX�C�b�`�h �p�P�b�g

�X�C�b�`�h �p�P�b�g�ւ�ACL�̓K�p �ɁAVLAN���ŃX�C�b�`���O�����p�P�b�g��ACL��K�p�����@�������܂��B��փu���b�W���O�ɂ���ă��[�e�B���O�܂��͓]�����ꂸ�AVLAN���ŃX�C�b�`���O�����p�P�b�g�ɂ́A���VLAN��VLAN�}�b�v�݂̂��K�p����܂��B

ACL����уu���b�W�h �p�P�b�g

�u���b�W�h �p�P�b�g�ւ�ACL�̓K�p �ɁA��փu���b�W�h �p�P�b�g��ACL��K�p�����@�������܂��B�u���b�W�h �p�P�b�g�̏ꍇ�́A���VLAN�Ƀ��C��2 ACL�݂̂��K�p����܂��B�܂��A��IP����є�ARP�p�P�b�g�݂̂���փu���b�W�h �p�P�b�g�ƂȂ�܂��B

ACL����у��[�e�b�h �p�P�b�g

���[�e�b�h �p�P�b�g�ւ�ACL�̓K�p �ɁA���[�e�b�h �p�P�b�g��ACL��K�p�����@�������܂��B���[�e�b�h �p�P�b�g�̏ꍇ�AACL�͎��̏��ԂœK�p����܂��B

ACL����у}���`�L���X�g �p�P�b�g

�}���`�L���X�g �p�P�b�g�ւ�ACL�̓K�p �ɁAIP�}���`�L���X�g�p�ɕ������ꂽ�p�P�b�g��ACL��K�p�����@�������܂��B���[�e�B���O�����}���`�L���X�g �p�P�b�g�ɂ́A2�‚̈قȂ�t�B���^���K�p����܂��B1�‚́A���悪���VLAN���̑��̃|�[�g�ł���ꍇ�Ɏg�p����A����1�‚́A���悪�p�P�b�g�̃��[�e�B���O��ł���ʂ�VLAN���ɂ���ꍇ�Ɏg�p����܂��B�p�P�b�g�͕����̏o��VLAN�Ƀ��[�e�B���O����܂����A���̏ꍇ�͈���VLAN���ƂɈقȂ郋�[�^�o��ACL�����VLAN�}�b�v���K�p����܂��B

�ŏI�I�ɁA�p�P�b�g�͈ꕔ�̏o��VLAN���ŋ��‚���A����ȊO��VLAN�ŋ��ۂ���܂��B�p�P�b�g�̃R�s�[���A���‚��ꂽ����ɓ]������܂��B�������A���VLAN�}�b�v�i �}���`�L���X�g �p�P�b�g�ւ�ACL�̓K�p ��VLAN 10�}�b�v�j�ɂ���ăp�P�b�g���p����ꍇ�A�p�P�b�g�̃R�s�[�͈���ɑ��M����܂���B

���ɁA show access-lists �C�l�[�u��EXEC�R�}���h�����s���A���ׂĂ̕W��ACL����ъg��ACL��\�������������܂��B

Switch# show access-lists

Standard IP access list 1

permit 172.20.10.10

Standard IP access list 10

permit 12.12.12.12

Standard IP access list 12

deny 1.3.3.2

Standard IP access list 32

permit 172.20.20.20

Standard IP access list 34

permit 10.24.35.56

permit 23.45.56.34

Extended IP access list 120

permit eigrp host 12.3.6.5 host 25.36.1.24

Extended MAC access list mac1

���ɁA show ip access-lists �C�l�[�u��EXEC�R�}���h�̏o�͗�������܂��BIP�W������ъg��ACL�݂̂��\������܂��B�O�q�̗�ŕ\�����ꂽ���O�w���MAC�g��ACL�́A���̗�ŕ\������܂���B

Switch# show ip access-lists

Standard IP access list 1

permit 172.20.10.10

Standard IP access list 10

permit 12.12.12.12

Standard IP access list 12

deny 1.3.3.2

Standard IP access list 32

permit 172.20.20.20

Standard IP access list 34

permit 10.24.35.56

permit 23.45.56.34

Extended IP access list 120

permit eigrp host 12.3.6.5 host 25.36.1.24

���ɁA show mac access-group �C�l�[�u��EXEC�R�}���h�̏o�͗�������܂��B���̏o�͂ŁAMAC�A�N�Z�X ���X�g�i macl-e1 �j���K�p����Ă���C���^�[�t�F�C�X��Gigabit Ethernet�C���^�[�t�F�C�X2�����ł��邱�Ƃ��킩��܂��B

Switch# show mac access-group

Interface GigabitEthernet0/1:

Inbound access-list is not set

Interface GigabitEthernet0/2:

Inbound access-list is macl_e1

Interface GigabitEthernet0/3:

Inbound access-list is not set

Interface GigabitEthernet0/4:

Inbound access-list is not set

Interface GigabitEthernet0/5:

Inbound access-list is not set

�i�e�L�X�g�o�͂͏ȗ��j

VLAN�A�N�Z�X�}�b�v�܂���VLAN�t�B���^�Ɋւ������\���ł��܂��BVLAN �}�b�v����\������ɂ́A VLAN�}�b�v����\������R�}���h �ɋL�ڂ��ꂽ�C�l�[�u��EXEC�R�}���h���g�p���܂��B

���́A show vlan access-map �C�l�[�u��EXEC�R�}���h�̏o�͗�ł��B

Switch# show vlan access-map

Vlan access-map "map_1" 10

  Match clauses:

     ip address: ip1

  Action:

     drop

Vlan access-map "map_1" 20

  Match clauses:

     mac address: mac1

  Action:

     forward

���ɁA show vlan filter �C�l�[�u��EXEC�R�}���h�̏o�͗�������܂��B

Switch# show vlan filter

VLAN Map map_1 is filtering VLANs:

  20-22

�����̃R�}���h�̏ڍׂɂ‚��ẮA���̃����[�X�̃R�}���h ���t�@�����X���Q�Ƃ��Ă��������B

�����ł́A����ACL���Ɋւ�����\����@�ɂ‚��Đ������܂��B

• �ݒ�̖���
• �n�[�h�E�F�A�ł�ACL�ݒ�̓K����
• TCAM�̗��p��

�ݒ�̖���

���[�^ACL�����łɐݒ肳��Ă���X�C�b�`�̃C���^�[�t�F�C�X�Ƀ|�[�gACL��K�p����ȂǁA���‚���Ă��Ȃ�ACL�ݒ���͂��悤�Ƃ���ƁA�G���[ ���b�Z�[�W�����O�ɋL�^����܂��B

���̗�ł́AGigabit�|�[�g1�����C��2�C���^�[�t�F�C�X�ł��B�A�N�Z�X ���X�g ip3 ��K�p���悤�Ƃ���ƁA���łɃX�C�b�`�̃��C��3�C���^�[�t�F�C�X��ACL���K�p����Ă��邱�Ƃ������G���[ ���b�Z�[�W���\������܂��B

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# ip access-group ip3 in

Switch(config-if)#

1d18h:%FM-3-CONFLICT:Port ACL ip3 conflicts with input router ACLs

ACL�̐ݒ�ɖ��������邩�ǂ����𔻒f���A���̃|�[�g�̃|�[�g���x���ԍ��𒲂ׂ�ɂ́A�C���^�[�t�F�C�X�ɑ΂��� show fm interface �C�l�[�u��EXEC�R�}���h�����s���܂��B����ɏڍ׏���\������ɂ́A���̗�̂悤�� show fm port-label �C�l�[�u��EXEC�R�}���h���͂��܂��B

Switch# show fm interface gigabitethernet0/1

Conflicts exist with layer 3 access groups.

Input Port Label:2

Switch# show fm port-label 2

Conflicts exist with layer 3 access groups.

Needed in CAM(s):1

Loaded into CAM(s):1

Sent to CPU by CAM(s):

Interfaces: Gi0/1

IP Access Group:ip3 0 VMRs

DHCP Broadcast Suppression Disabled.

MAC Access Group:(None) 0 VMRs

���̗�́A���C��2�C���^�[�t�F�C�X��AVL�����łɓK�p����Ă���X�C�b�`�ŁASVI�AVLAN 1��ACL 121��K�p���悤�Ƃ������ʂ������Ă��܂��B

Switch(config)# interface vlan 1

Switch(config-if)# ip access-group 121 in

Switch(config-if)#

1d18h:%FM-3-CONFLICT:Input router ACL 121 conflicts with port ACLs

show fm vlan ���͂���Ɛݒ�̖������\������AVLAN label-ids �𔻒f���邱�Ƃ��ł��܂��B����ɏڍ׏���\������ɂ́A show fm vlan-label �R�}���h���͂��܂��B

Switch# show fm vlan 1

Conflicts exist with layer 2 access groups.

Input VLAN Label:1

Output VLAN Label:0 (default)

Priority:normal

Switch# show fm vlan-label 1

Conflicts exist with layer 2 access groups.

Input Features:

  Interfaces or VLANs: Vl1

  Priority:normal

  Vlan Map:(none)

  Access Group:121, 0 VMRs

  Multicast Boundary:(none), 0 VMRs

Output Features:

  Interfaces or VLANs:

  Priority:low

  Bridge Group Member:no

  Vlan Map:(none)

  Access Group:(none), 0 VMRs

�n�[�h�E�F�A�ł�ACL�ݒ�̓K����

�O�q�̂悤�ɁACatalyst 3550�X�C�b�`�ł�ACL�����́A�啔�����n�[�h�E�F�A�ŏ�������܂��B�������AACL�ݒ���i�[���邽�߂̃n�[�h�E�F�A�e�ʂ����E�ɒB�����ꍇ�́A�X�C�b�`�̃\�t�g�E�F�A�ɂ���āA�n�[�h�E�F�A���̐ݒ肪�P���ɂȂ�悤�ɒ�������܂��B�ݒ肪�P���ɂȂ�ƁA�ݒ肳�ꂽ�t�B���^�����O�����̈ꕔ�����s����Ȃ��Ȃ�A�ꕔ�܂��͂��ׂẴp�P�b�g��CPU�ɑ����āA�\�t�g�E�F�A�ɂ��t�B���^�����O����܂��B���̕�@�ŁA�ݒ肳�ꂽ���ׂẴt�B���^�����O���������s����܂����A�\�t�g�E�F�A�Ńt�B���^�����O���s����ƃp�t�H�[�}���X���啝�ɒቺ���܂��B

���Ƃ��΁AVLAN�C���^�[�t�F�C�X�ɓK�p������̓��[�^ACL�ƁA����VLAN�ɓK�p�����VLAN�}�b�v�̑g�ݍ��킹���n�[�h�E�F�A�ɓK�����Ȃ��ꍇ�́A���̂悤�ɂȂ�܂��B

• VLAN�}�b�v�݂̂��n�[�h�E�F�A�ɓK������ꍇ�A�\�t�g�E�F�A�̓n�[�h�E�F�A�ɑ΂��āA���[�e�B���O�̕K�v�����邷�ׂẴp�P�b�g��CPU�ɑ��M���A�����Ńt�B���^�����O�܂��́i�p�P�b�g���t�B���^��ʉ߂����ꍇ�́j���[�e�B���O���s����悤�ɐݒ肵�܂��B���VLAN���ł̃u���b�W���O�݂̂��K�v�ȃp�P�b�g�́A���ׂăn�[�h�E�F�A�ŏ�������ACPU�ɂ͑��M����܂���B
• VLAN�}�b�v���n�[�h�E�F�A�ɓK�����Ȃ��ꍇ�́AVLAN�̂��ׂẴp�P�b�g���\�t�g�E�F�A�Ńt�B���^�����O���A�]������K�v������܂��B

�n�[�h�E�F�A�ɑ΂���ݒ�̓K�������͂��ׂă��O�ɋL�^����܂��B show fm �C�l�[�u��EXEC�R�}���h���g�p����ƁA�n�[�h�E�F�A�ɓK�����Ȃ��C���^�[�t�F�C�X�̐ݒ�܂���VLAN�̐ݒ肪���邩�ǂ����𔻕ʂ��邱�Ƃ��ł��܂��B

TCAM�̗��p��

show tcam �C�l�[�u��EXEC�R�}���h���g�p����ƁAACL��ݒ肷��O���TCAM�̋󂫗e�ʂ�\��������A����̃C���^�[�t�F�C�X�܂���VLAN�Ɋ��蓖�Ă��Ă���TCAM���̗e�ʂ𒲂ׂ邱�Ƃ��ł��܂��B

TCAM����ACL����͂���Ă���̈�̍��v�T�C�Y��\������ɂ́A show tcam size ���g�p���܂��B

Switch# show tcam inacl 1 size

Ingress ACL TCAM Size:6592 Entries

���܂��܂�TCAM�̈�Ɋ��蓖�Ă�e�ʂ�ύX����ꍇ�́A sdm prefer �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B���̃R�}���h���g�p���āAACL�A���[�e�B���O�A�܂��̓��C��2�X�C�b�`���O�Ɋ��蓖�Ă郊�\�[�X�𑝂₷���Ƃ��ł��܂��B

��͂܂��͏o�͂�TCAM�̈�ɑ΂��� show tcam statistics �R�}���h���͂���ƁA�}�X�N����уG���g���̊��蓖�ėʂƎg�p�”\�ʂ��\������邽�߁A����TCAM�̈悪�ǂ̒��x���p����Ă��邩���킩��܂��B���Ɏ����̂́A���̃R�}���h�̏o�͗�ł��B

Switch# show tcam inacl 1 statistics

Ingress ACL TCAM#1:Number of active labels:3

Ingress ACL TCAM#1:Number of masks allocated: 14, available: 810

Ingress ACL TCAM#1:Number of entries allocated: 17, available:6575

�C���^�[�t�F�C�X�܂���VLAN�ւ�ACL�̐ݒ�Ɏg�p�ł���TCAM�̗ʂ𔻒f����ɂ́A�܂� show fm interface �R�}���h�܂��� show fm vlan �R�}���h���g�p���܂��B�����̃R�}���h�̏o�͂���A���̃|�[�g�܂���VLAN��ACL�ݒ�Ɏg�p�����|�[�g ���x���܂���VLAN���x���𔻕ʂ��邱�Ƃ��ł��܂��B����ɁA show tcam port-label �R�}���h�܂��� show tcam vlan-label �R�}���h���g�p����ƁA���̃��x���Ɋ��蓖�Ă��Ă���TCAM�̗e�ʂ��\������܂��BVLAN���x���̓��[�^ACL��VLAN�}�b�v�ɁA�|�[�g ���x���̓|�[�gACL�Ɏg�p����܂��B

Switch# show fm vlan 1

Input VLAN Label:1

Output VLAN Label:0 (default)

Priority:normal

Switch# show tcam inacl 1 vlan-labels 1

Label Value : 8193(vlan label 1)

Number of entries :779

Entry List

----------

Mask Index :4

F7 00 00 00 00 00 00 00 00 80 FF C0 00 C0 FF FF 00 00

Entry Index :32 Timestamp:1

96 00 00 00 00 00 00 00 00 80 01 40 00 80 00 01 00 00 As Data(hex) :00260086

Mask Index :5

F7 00 00 00 00 00 00 00 00 80 FF C0 00 C0 00 00 FF FF

Entry Index :33 Timestamp:4

96 00 00 00 00 00 00 00 00 80 01 40 00 80 00 00 00 B3 As Data(hex) :00260086

Mask Index :6

F5 00 00 00 00 E0 00 00 00 80 FF C0 00 C0 00 00 00 00

Entry Index :48 Timestamp:1

94 00 00 00 00 E0 00 00 00 80 01 40 00 80 00 00 00 00 As Data(hex) :00210086

Mask Index :7

F7 00 00 00 00 00 00 00 00 80 FF C0 00 C0 00 00 00 00

Entry Index :49 Timestamp:4

96 00 00 00 00 00 00 00 00 80 01 40 00 80 00 00 00 00 As Data(hex) :00210086

Mask Index :8

F5 00 00 00 00 00 00 00 00 80 FF C0 00 C0 00 00 00 00

Entry Index :64 Timestamp:1

�i�e�L�X�g�o�͂͏ȗ��j

show tcam vlan-label �̏o�͂Ɋ܂܂�Ă���G���g�����i Number of entries �j�t�B�[���h�ł́A2�‚̃f�t�H���g �G���g�����J�E���g����Ă��Ȃ����߁A���̃t�B�[���h�̒l�����2�‚̃G���g�������O����Ă��܂��B�f�t�H���g �G���g���̓|�[�g ���x�����g�p���Ȃ��̂ŁA���̒l�͂��̏o�̓t�B�[���h�̐��m�Ȓl�ƂȂ�܂��B