 |
VLAN ACLの設定
この章では、Cisco 7600シリーズ ルータでのVLAN ACL(VACL)の設定手順について説明します。
-
VACL
-
VACLの設定
-
VACLロギングの設定
-
VACLキャプチャは、WS-SVC-IDSM2-K9 Intrusion Detection System Module 2(IDSM2)およびWS-SVC-NAM-2/WS-SVC-NAM-1ネットワーク解析モジュールでのみ使用できます。
VACL
ここではVACLについて説明します。
VACLの概要
VACLは、VLAN内でブリッジング、またはVLANまたはVACLキャプチャ用のWANインターフェイス内外にルーティングされる
すべてのパケット
について、アクセスを制御できます。ルータ インターフェイスでのみ設定され、ルーテッド パケットにのみ適用される通常のCisco IOS標準ACLまたは拡張ACLと異なり、VACLはすべてのパケットに適用され、どのVLAN/WANインターフェイスにも適用できます。VACLはハードウェアで処理されます。VACLはCisco IOS ACLを使用します。VACLは、ハードウェアでサポートされないCisco IOS ACLフィールドについてはすべて無視します。
VACLは、IP、IPX、およびMACレイヤ トラフィックに対して設定できます。WANインターフェイスに適用されるVACLは、VACLキャプチャのIPトラフィックのみをサポートします。
VACLを設定してVLANに適用すると、VLANに着信するすべてのパケットが、このVACLと照合されます。VACLをVLANに適用し、ACLをVLAN内のルーテッド インターフェイスに適用すると、VLANに着信するパケットは最初にVACLと照合されます。そこで許可されると、次に入力ACLと照合され、それからルーテッド インターフェイスで処理されます。別のVLANにルーティングされるパケットは、最初に、ルーテッド インターフェイスに適用される出力ACLと照合されます。そこで許可されると、宛先VLAN用に設定されたVACLが適用されます。VACLが特定のパケット タイプ用に設定されていて、VACLと該当タイプのパケットとが一致しない場合、デフォルト動作では、パケットが拒否されます。
-
VACLと同じインターフェイスに設定されている場合、TCPインターセプトおよび再帰ACLは、VACLよりも優先されます。
-
VACLおよびContext-Based Access Control(CBAC;コンテキスト ベースのアクセス制御)は、同じインターフェイス上には設定できません。
-
Internet Group Management Protocol(IGMP)パケットはVACLと照合されません。
ブリッジド パケット
ブリッジド パケットへのVACLの適用
に、ブリッジド パケットに適用されるVACLを示します。
ルーテッド パケット
ルーテッド パケットへのVACLの適用
に、ルーテッド パケットおよびレイヤ3スイッチド パケットにACLを適用する方法を示します。ルーテッド パケットおよびレイヤ3スイッチド パケットに対して、ACLは次の順番で適用されます。
-
入力VLAN用VACL
-
入力Cisco IOS ACL
-
出力Cisco IOS ACL
-
出力VLAN用VACL
マルチキャスト パケット
マルチキャスト パケットへのVACLの適用
に、マルチキャスト拡張が必要なパケットにACLを適用する方法を示します。マルチキャスト拡張が必要なパケットに対して、ACLは次の順番で適用されます。
-
マルチキャスト拡張が必要なパケット
-
入力VLAN用VACL
-
入力Cisco IOS ACL
-
マルチキャスト拡張後のパケット
-
出力Cisco IOS ACL
-
出力VLAN用VACL
-
ルータから送信されるパケット ― 出力VLAN用VACL
VACLの設定
ここではVACLの設定について説明します。
VACLの設定の概要
VACLは標準および拡張Cisco IOS IP/IPX ACL、およびMACレイヤの名前付きACL(
MACレイヤ名前付きアクセス リストの設定(任意)
を参照)、さらにVLANアクセス マップを使用します。
VLANアクセス マップを、VACLキャプチャのVLANまたはWANインターフェイスに適用することができます。WANインターフェイスに接続されたVACLは、標準または拡張Cisco IOS IP ACLのみをサポートします。
各VLANアクセス マップは、1つまたは複数のマップ シーケンスで構成できます。各シーケンスにはmatchコマンドとactionコマンドが含まれます。matchコマンドはトラフィック フィルタリング用のIP、IPX、またはMAC ACLを指定します。actionコマンドは一致した場合に実行するアクションを指定します。フローが許可(permit)ACLエントリと一致した場合、関連づけられたアクションが実行され、それ以降の残りのシーケンスに対してフローはチェックされません。フローが拒否(deny)ACLエントリと一致した場合、同じシーケンス内の次のACL、または次のシーケンスに対してフローがチェックされます。フローがどのACLエントリとも一致せず、1つまたは複数のACLがそのパケット タイプ用に設定されている場合、パケットは拒否されます。
ブリッジド トラフィックおよびルーテッド トラフィックの両方にアクセス制御を使用するには、VACLを単独で使用するか、またはVACLとACLを組み合わせて使用します。入力と出力の両方のルーテッド トラフィックに対してアクセス制御を使用するには、VLANインターフェイス上でACLを定義します。ブリッジド トラフィックに対してアクセス制御を使用するには、VACLを定義します。
VACLと共にACLを使用する場合は、次の点に注意してください。
-
発信ACLにログオンする必要があるパケットは、VACLで拒否された場合、ログオンしません。
-
VACLはNAT変換前のパケットに適用されます。アクセス制御の対象でない変換フローは、VACLコンフィギュレーションにより、変換後にアクセス制御の対象となる場合があります。
VACL内のactionコマンドは、転送(forward)、廃棄(drop)、キャプチャ(capture)、またはリダイレクト(redirect)です。トラフィックのロギングもできます。WANインターフェイスに適用されたVACLは、リダイレクトまたはログ アクションをサポートしません。
-
VACLのマップの最後には、暗黙的な拒否エントリがあります。パケットがどのACLエントリとも一致せず、1つまたは複数のACLがそのパケット タイプ用に設定されている場合、パケットは拒否されます。
-
空または未定義のACLがVACL内で指定されている場合、すべてのパケットはこのACLに一致し、関連づけられたアクションが実行されます。
VLANアクセス マップの定義
VLANアクセス マップを定義するには、次の作業を行います。
|
コマンド
|
目的
|
|
Router(config)#
vlan access-map
map_name
[
0-65535
]
|
VLANアクセス マップを定義します。任意で、VLANアクセス マップのシーケンス番号を指定できます。
|
|
Router(config)#
no
vlan access-map
map_name
0-65535
|
VLANアクセス マップからマップ シーケンスを削除します。
|
|
Router(config)#
no
vlan access-map
map_name
|
VLANアクセス マップを削除します。
|
VLANアクセス マップを定義する際、次の構文情報に注意してください。
-
エントリを追加または変更する場合は、マップのシーケンス番号を指定します。
-
マップのシーケンス番号を指定しない場合、番号が自動的に割り当てられます。
-
各マップ シーケンスには、matchコマンドおよびactionコマンドをそれぞれ1つのみ指定できます。
-
マップ シーケンスを削除する場合は、シーケンス番号を指定して
no
キーワードを使用します。
-
マップを削除する場合は、シーケンス番号を指定しないで、
no
キーワードを使用します。
VLANアクセス マップの設定および確認の例
を参照してください。
VLANアクセス マップ シーケンスでのmatchコマンドの設定
VLANアクセス マップ シーケンスにmatchコマンドを設定するには、次の作業を行います。
|
コマンド
|
目的
|
|
Router(config-access-map)#
match
{
ip address
{
1-199
|
1300-2699
|
acl_name
} |
ipx address
{
800-999
|
acl_name
}|
mac
address
acl_name
}
|
VLANアクセス マップ シーケンスにmatchコマンドを設定します。
|
|
Router(config-access-map)#
no
match
{
ip address
{
1-199
|
1300-2699
|
acl_name
} |
ipx address
{
800-999
|
acl_name
}|
mac
address
acl_name
}
|
VLANアクセス マップからmatchコマンドを削除します。
|
VLANアクセス マップにmatchコマンドを設定する際、次の構文情報に注意してください。
-
1つまたは複数のACLを選択できます。
-
WANインターフェイスに接続されたVACLは、標準または拡張Cisco IOS IP ACLのみをサポートします。
-
matchコマンドを削除したり、matchコマンド内の特定のACLを削除する場合は、noキーワードを使用します。
-
名前付きMACレイヤACLについては、
MACレイヤ名前付きアクセス リストの設定(任意)
を参照してください。
-
Cisco IOS ACLについては、次のURLで、『
Cisco IOS Security Configuration Guide
』Release 12.2の「Traffic Filtering and Firewalls」を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/ftrafwl/index.htm
VLANアクセス マップの設定および確認の例
を参照してください。
VLANアクセス マップ シーケンスでのactionコマンドの設定
VLANアクセス マップ シーケンスにactionコマンドを設定するには、次の作業を行います。
|
コマンド
|
目的
|
|
Router(config-access-map)#
action
{
drop
[
log
]} | {
forward
[
capture
]} | {
redirect
{{ethernet | fastethernet | gigabitethernet | tengigabitethernet} slot/port} | {port-channel channel_id}}
|
VLANアクセス マップ シーケンスにactionコマンドを設定します。
|
|
Router(config-access-map)#
no
action
{
drop
[
log
]} | {
forward
[
capture
]} | {
redirect
{{ethernet | fastethernet | gigabitethernet | tengigabitethernet} slot/port} | {port-channel channel_id}}
|
VLANアクセス マップ シーケンスからactionコマンドを削除します。
|
VLANアクセス マップ シーケンスにactionコマンドを設定する際、次の構文情報に注意してください。
-
パケットを廃棄(drop)、転送(forward)、転送キャプチャ(forward capture)、またはリダイレクト(redirect)するアクションを設定できます。
-
WANインターフェイスに適用されたVACLは、転送キャプチャ アクションのみをサポートします。WANインターフェイスに適用されたVACLは、廃棄、転送、またはリダイレクト アクションをサポートしません。
-
転送されたパケットも、設定済みCisco IOSセキュリティACLの対象になります。
-
capture
アクションでは、転送されたパケットのキャプチャ ビットが設定されて、キャプチャ機能がイネーブルのポートがパケットを受信できるようになります。キャプチャできるのは、転送されたパケットだけです。
capture
アクションの詳細については、
キャプチャ ポートの設定
を参照してください。
-
WANインターフェイスに適用されたVACLは、logアクションをサポートしません。
-
logアクションが指定されている場合、廃棄されたパケットがソフトウェアで記録されます。記録できるのは、廃棄されたIPパケットだけです。
-
redirectアクションを指定すると、物理インターフェイスまたはEtherChannelのいずれかのインターフェイスを5つまで指定できます。EtherChannelメンバーまたはVLANインターフェイスにパケットをリダイレクトするように指定することはできません。
-
リダイレクト インターフェイスはVACLアクセス マップが設定されているVLAN内になくてはなりません。
-
actionコマンド、または指定されたリダイレクト インターフェイスを削除する場合は、noを使用します。
VLANアクセス マップの設定および確認の例
を参照してください。
VLANアクセス マップの適用
VLANアクセス マップを適用するには、次の作業を行います。
|
コマンド
|
目的
|
|
Router(config)#
vlan filter
map_name
{
vlan-list
vlan_list
|
interface
type
number
}
|
指定されたVLANまたはWANインターフェイスにVLANアクセス マップを適用します。
|
|
Router(config)#
no
vlan filter
map_name
[
vlan-list
vlan_list
|
interface
type
1
number
2
]
|
指定されたVLANまたはWANインターフェイスからVLANアクセス マップを削除します。
|
VLANアクセス マップを適用する際、次の構文情報に注意してください。
-
VLANアクセス マップは、1つまたは複数のVLANまたはWANインターフェイスに適用できます。
-
vlan_list
パラメータには、単一のVLAN ID、カンマで区切ったVLAN IDリスト、またはVLAN ID範囲(
vlan_ID
-
vlan_ID
)を指定できます。
-
VACLが適用されたWANインターフェイスを削除する場合、インターフェイス上のVACL設定も削除されます。
-
各VLANまたはWANインターフェイスに適用できるVLANアクセス マップは1つだけです。
-
VACLがアクティブになるのは、レイヤ3 VLANインターフェイスが設定されているVLANに適用された場合だけです。レイヤ3 VLANインターフェイスを備えていないVLANに適用されたVACLは、非アクティブです。レイヤ3 VLANインターフェイスを備えていないVLANにVLANアクセス マップを適用すると、VLANアクセス マップをサポートするために、管理上ダウンのレイヤ3 VLANインターフェイスが作成されます。レイヤ3 VLANインターフェイスを作成できなかった場合、VACLはアクティブになりません。
-
セカンダリ プライベートVLANにVACLを適用することはできません。プライマリ プライベートVLANに適用されたVACLが、セカンダリ プライベートVLANにも適用されます。
-
VLANまたはWANインターフェイスからVLANアクセス マップを消去する場合は、
no
キーワードを使用します。
VLANアクセス マップの設定および確認の例
を参照してください。
VLANアクセス マップの設定の確認
VLANアクセス マップの設定を確認するには、次の作業を行います。
|
コマンド
|
目的
|
|
Router#
show vlan access-map
[
map_name
]
|
VLANアクセス マップの内容を表示して、VLANアクセス マップの設定を確認します。
|
|
Router#
show vlan filter
[
access-map
map_name
|
vlan
vlan_id
|
interface
type
number
]
|
VACLとVLAN間のマッピングを表示して、VLANアクセス マップの設定を確認します。
|
VLANアクセス マップの設定および確認の例
net_10
および
any_host
という名前付きIP ACLが、次のように定義されていると想定します。
Router# show ip access-lists net_10
Extended IP access list net_10
permit ip 10.0.0.0 0.255.255.255 any
Router# show ip access-lists any_host
Standard IP access list any_host
permit any
次に、VLANアクセス マップを定義して、転送されたIPパケットに適用する例を示します。この例では、net_10に一致するIPトラフィックは転送され、それ以外のすべてのIPパケットはデフォルトの廃棄アクションによって廃棄されます。このマップはVLAN12〜16に適用されます。
Router(config)#
vlan access-map thor 10
Router(config-access-map)#
match ip address net_10
Router(config-access-map)#
action forward
Router(config-access-map)#
exit
Router(config)#
vlan filter thor vlan-list 12-16
次に、VLANアクセス マップを定義および適用して、IPパケットを廃棄および記録する例を示します。この例では、net_10に一致するIPトラフィックは廃棄およびロギングされ、それ以外のすべてのIPパケットは転送されます。
Router(config)#
vlan access-map ganymede 10
Router(config-access-map)#
match ip address net_10
Router(config-access-map)#
action drop log
Router(config-access-map)#
exit
Router(config)#
vlan access-map ganymede 20
Router(config-access-map)#
match ip address any_host
Router(config-access-map)#
action forward
Router(config-access-map)#
exit
Router(config)#
vlan filter ganymede vlan-list 7-9
次に、VLANアクセス マップを定義して、転送およびキャプチャされたIPパケットに適用する例を示します。この例では、net_10に一致するIPトラフィックは転送およびキャプチャされ、それ以外のすべてのIPパケットは廃棄されます。
Router(config)#
vlan access-map mordred 10
Router(config-access-map)#
match ip address net_10
Router(config-access-map)#
action forward capture
Router(config-access-map)#
exit
Router(config)#
vlan filter mordred vlan-list 2, 4-6
キャプチャ ポートの設定
VACLフィルタリングされたトラフィックをキャプチャするように設定されたポートを、キャプチャ ポートといいます。
キャプチャ ポートを設定するには、次の作業を行います。
|
|
コマンド
|
目的
|
-
|
Router(config)#
interface
{{
type
slot/port
}
|
設定するインターフェイスを指定します。
|
-
|
Router(config-if)#
switchport capture allowed vlan
{
add
|
all
|
except
|
remove
}
vlan_list
|
(任意)キャプチャされたトラフィックを、宛先VLAN単位でフィルタリングします。デフォルトは、
all
です。
|
|
Router(config-if)#
no switchport capture allowed vlan
|
設定された宛先VLANリストを消去して、デフォルト値(
all
)に戻ります。
|
-
|
Router(config-if)#
switchport capture
|
ポートが、VACLフィルタリングされたトラフィックをキャプチャするよう設定します。
|
|
Router(config-if)#
no switchport capture
|
インターフェイスのキャプチャ機能をディセーブルにします。
|
キャプチャ ポートを設定する際、次の構文情報に注意してください。
-
任意のポートをキャプチャ ポートとして設定することができます。
-
キャプチャ ポートを設定する際、次の構文情報に注意してください。
-
vlan_list
パラメータには、単一のVLAN ID、カンマで区切ったVLAN IDリスト、またはVLAN ID範囲(
vlan_ID
-
vlan_ID
)を指定できます。
-
キャプチャされたトラフィックをカプセル化するには、
switchport capture
コマンドの前に
switchport trunk encapsulation
コマンドを使用して、キャプチャ ポートを設定します(
トランクとしてのレイヤ2スイッチング ポートの設定
を参照)。
-
キャプチャされたトラフィックを非カプセル化するには、
switchport capture
コマンドの前に
switchport mode access
コマンドを使用して、キャプチャ ポートを設定します(
レイヤ2アクセス ポートとしてのLANインターフェイスの設定
を参照)。
-
キャプチャ ポートは、出力トラフィックのみをサポートします。トラフィックは、キャプチャ ポートからルータに入力されません。
次に、インターフェイスFast Ethernet 5/1をキャプチャ ポートとして設定する例を示します。
Router(config)#
interface gigabitEthernet 5/1
Router(config-if)#
switchport capture
Router(config-if)# end
次に、VLANアクセス マップの情報を表示する例を示します。
Router#
show vlan access-map mordred
Vlan access-map "mordred" 10
match: ip address net_10
action: forward capture
Router#
次に、VACLおよびVLAN間のマッピングを表示する例を示します。各VACLマップには、マップが設定されているVLANおよびマップがアクティブなVLANに関する情報があります。VLANにインターフェイスがない場合、VACLはアクティブになりません。
Router#
show vlan filter
VLAN Map mordred:
Configured on VLANs: 2,4-6
Active on VLANs: 2,4-6
Router#
VACLロギングの設定
VACLロギングが設定されているときに、次の状況でIPパケットが拒否されると、ログ メッセージが生成されます。
-
一致する最初のパケットが受信された場合
-
直前の5分間に一致するパケットが受信された場合
-
5分経過する前にスレッシュホールドに達している場合
ログ メッセージはフロー単位で生成されます。フローは、同じIPアドレスおよびレイヤ4(UDPまたはTCP)ポート番号を持つパケットとして定義されます。ログ メッセージが生成されると、タイマーおよびパケット カウンタがリセットされます。
VACLロギングには次の制約事項が適用されます。
-
リダイレクトされたパケットのレート制限機能により、VACLログ カウンタが不正確になることがあります。
-
拒否されたIPパケットのみが記録されます。
VACLロギングを設定するには、VLANアクセス マップ サブモードの
action drop log
コマンド アクションを使用します(設定情報については、
VACLの設定
を参照)。この作業をグローバル コンフィギュレーション モード内で実行して、グローバルVACLログ パラメータを指定します。
|
|
コマンド
|
目的
|
-
|
Router(config)#
vlan access-log maxflow
max_number
|
ログ テーブルのサイズを設定します。ログ テーブルの内容を削除するには、maxflowの値を0に設定します。デフォルトは500で、有効範囲は0〜2048です。ログ テーブルが満杯になると、新しいフローから記録されたパケットがソフトウェアによって廃棄されます。
|
-
|
Router(config)#
vlan access-log ratelimit
pps
|
VACLロギング パケットの最大リダイレクト速度を設定します。デフォルトのパケット転送速度は2000パケット/秒で、有効範囲は0〜5000パケット/秒です。限度を超えたパケットは、ハードウェアによって廃棄されます。
|
-
|
Router(config)#
vlan access-log threshold
pkt_count
|
ロギング スレッシュホールドを設定します。5分経過する前にフローのスレッシュホールドに達すると、ロギング メッセージが生成されます。デフォルトでは、スレッシュホールドは設定されません。
|
-
|
Router(config)#
exit
|
VLANアクセス マップ コンフィギュレーション モードを終了します。
|
-
|
Router#
show vlan access-log config
|
(任意)設定されたVACLロギング プロパティを表示します。
|
-
|
Router# show vlan access-log flow
protocol
{{
src_addr src_mask
} | any | {host {
hostname
|
host_ip
}}} {{
dst_addr dst_mask
} | any | {host {
hostname
|
host_ip
}}}
[vlan
vlan_id
]
|
(任意)VACLログ テーブルの内容を表示します。
|
-
|
Router#
show vlan access-log statistics
|
(任意)パケット数、メッセージ数などの統計情報を表示します。
|
次に、グローバルVACLロギングをハードウェア内で設定する例を示します。
Router(config)#
vlan access-log maxflow 800
Router(config)#
vlan access-log ratelimit 2200
Router(config)#
vlan access-log threshold 4000
All contents copyright (C) 1992--2004 Cisco Systems K.K.
