この章では、Access Control List(ACL;アクセス制御リスト)を使用して、Catalyst 3550スイッチにネットワーク セキュリティを設定する方法について説明します。ACLは、コマンドやテーブルではaccess-list(アクセス リスト)と表します。
この章で使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンス、『 Cisco IOS IP Configuration Guide 』Release 12.2の「IP Addressing and Service」の章にある「Configuring IP Services」、および次のソフトウェア コンフィギュレーション コマンド リファレンスを参照してください。
- 『 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services』Release 12.2
- 『 Cisco IOS IP Command Reference, Volume 2 of 3:Routing Protocols』Release 12.2
- 『 Cisco IOS IP Command Reference, Volume 3 of 3:Multicast』Release 12.2
ACLの概要
パケット フィルタリングを使用すると、ネットワーク トラフィックを制限したり、特定のユーザやデバイスによるネットワークの使用を制限できます。ACLはルータを通過するトラフィックをフィルタリングし、特定のインターフェイスでパケットを許可、または、拒否します。ACLは、パケットに適用される許可および拒否条件を順番に並べたものです。インターフェイスにパケットが着信すると、スイッチはパケットのフィールドを該当するACLと比較し、ACLで指定されている条件に基づいて、パケットに対して転送が許可されているかどうかを検証します。パケットは、アクセス リスト内の条件に対して1つずつテストされます。最初に見つかった一致条件によって、パケットが許可されるか、または拒否されるかが決まります。スイッチは、最初の一致が見つかるとテスト環境を終了するので、アクセス リスト内の条件の順序が重要となります。一致する条件がない場合、パケットは拒否されます。制約がない場合、スイッチはパケットを転送し、制約がある場合はパケットを廃棄します。
従来、スイッチはレイヤ2でのみ稼働し、VLAN(仮想LAN)内でトラフィックをスイッチングしていました。一方、ルータはVLAN間でトラフィックをルーティングしていました。Catalyst 3550スイッチは、レイヤ3スイッチングを使用してVLAN間のパケット ルーティングを高速化します。スイッチでブリッジングされたパケットは、外部ルータに送信されずに内部ルーティングされ、再度ブリッジングされて宛先に送信されます。スイッチはこのプロセス中に、VLAN内でブリッジングされるパケットを含め、スイッチングされるすべてのパケットのアクセスを制御します。
ネットワークに基本的なセキュリティを導入する場合は、ルータまたはスイッチにアクセス リストを設定します。ACLを設定しないと、スイッチを通過するすべてのパケットが、ネットワーク内のすべての場所に転送されることがあります。ACLを使用すると、ネットワークの場所ごとにアクセス可能なホストを制御したり、ルータ インターフェイスで転送またはブロックされるトラフィックの種類を決定できます。たとえば、電子メール トラフィックの転送を許可して、Telnetトラフィックの転送を禁止することが可能です。ACLが着信トラフィック、発信トラフィック、またはその両方をブロックするように設定することもできます。ただし、レイヤ2インターフェイスでは、ACLを適用できるのは着信方向だけです。
ACLにはACEが順番に記述されています。各ACEは、許可( permit )または拒否( deny )、およびACEと一致するために要求されるパケットの必須条件を指定します。 許可 または 拒否 の意味は、ACLの使用状況に応じて変わります。
- IP ACLは、TCP、UDP、Internet Group Management Protocol(IGMP)、Internet Control Message Protocol(ICMP)などのIPトラフィックをフィルタリングします。
- イーサネットACLまたはMAC(メディア アクセス制御)ACLは、非IPトラフィックをフィルタリングします。
サポートされるACL
このスイッチは、トラフィックをフィルタリングするため、次に示す3種類のACLをサポートします。
- ルータACLは、VLAN間でルーティングされたトラフィックのアクセスを制御し、レイヤ3インターフェイスに適用されます。1つのインターフェイスの方向ごとに、ルータACLを1つ適用できます。
- ポートACLは、レイヤ2インターフェイスに入るトラフィックのアクセスを制御します。このスイッチは、発信方向のポートACLをサポートしません。1つのレイヤ2インターフェイスに適用できるのは、IPアクセス リスト1つとMACアクセス リスト1つだけです。
- VLAN ACLまたはVLANマップは、すべてのパケット(ブリッジド パケットおよびルーテッド パケット)のアクセスを制御します。VLANマップを使用すると、同じVLAN内のデバイス間で転送されるトラフィックをフィルタリングできます。VLANマップは、IPのレイヤ3アドレスに基づいてアクセス制御するように設定されています。サポートされていないプロトコルはイーサネットACEを使用し、MACアドレスを通じてアクセス制御されます。VLANマップをVLANに適用すると、VLANに入るすべてのパケット(ルーテッド パケットまたはブリッジド パケット)がVLANマップと照合されます。パケットはスイッチ ポートを経由して、ルーティングされたパケットの場合は、ルーテッド ポートを経由してVLANに入ります。
同じスイッチでルータACLとVLANマップを両方使用できます。ただし、入力ルータACLまたはVLANマップが設定されているスイッチでポートACLを使用することはできません。
- スイッチに、IPアクセス リストまたはMACアクセス リストが適用されているレイヤ2インターフェイスがある場合、IPアクセス リストとVLANマップを作成することは可能ですが、そのスイッチの入力レイヤ3インターフェイスにIPアクセス リストを適用したり、そのスイッチのいずれかのVLANにVLANマップを適用することはできません。適用しようとすると、エラー メッセージが生成されます。ポートACLが設定されたスイッチの出力レイヤ3インターフェイスにIPアクセス リストを適用することは可能です。
- スイッチに、適用済みの入力レイヤ3 ACLまたはVLANマップがある場合、このスイッチのレイヤ2インターフェイスにIPアクセス リストまたはMACアクセス リストを適用することはできません。適用しようとすると、エラー メッセージが生成されます。スイッチの出力レイヤ3インターフェイスにACLが適用されている場合は、そのスイッチにポートACLを適用できます。
IEEE 802.1Qトンネリングがインターフェイス上に設定されている場合、このトンネル ポートで受信されたIEEE 802.1Qカプセル化IPパケットをMAC ACLでフィルタリングすることは可能ですが、IP ACLではフィルタリングできません。スイッチはIEEE 802.1Qヘッダー内のプロトコルを認識できないためです。この制約は、ルータACL、ポートACL、VLANマップに適用されます。IEEE 802.1Qトンネリングの詳細については、 第14章 「IEEE 802.1Qおよびレイヤ2プロトコル トンネリングの設定」 を参照してください。
このスイッチは、Quality of Service(QoS;サービス品質)分類ACLもサポートしています。詳細については、 QoS ACLに基づく分類 を参照してください。
ルータACL
VLANへのレイヤ3インターフェイスであるSwitch Virtual Interface(SVI)、物理レイヤ3インターフェイス、およびレイヤ3 EtherChannelインターフェイスに、ルータACLを適用できます。ルータACLはインターフェイスの特定の方向(着信または発信)に対して適用されます。各方向に1つずつIPアクセス リストを適用できます。
1つのACLをある特定インターフェイスの複数の機能に使用できます。また、1つの機能に複数のACLを使用することもできます。1つのルータACLを複数の機能で使用する場合、そのルータACLは複数回テストされます。
- 標準IPアクセス リストは、送信元アドレスを使用して一致処理を行います。
- 拡張IPアクセス リストは、送信元アドレス、宛先アドレス、およびオプションのプロトコル タイプ情報を使用して一致処理を行います。
スイッチは、特定のインターフェイスおよび方向に対して設定された機能に関連付けられているACLをテストします。パケットがスイッチのインターフェイスに着信すると、そのインターフェイスに設定されているすべての着信機能に対応するACLがテストされます。パケットがルーティングされてからネクスト ホップに転送されるまでの間に、出力インターフェイスに設定された発信機能に対応するすべてのACLがテストされます。
ACLは、ACL内のエントリとの一致結果に基づいて、転送を許可または拒否します。たとえば、アクセス リストを使用すると、ネットワークの特定の場所へのアクセスを特定のホストに許可し、別のホストにはアクセスを禁止できます。 図28-1 では、ルータへの入力に適用されているACLにより、ホストAは人事部ネットワークへのアクセスを許可されますが、ホストBは拒否されます。
図28-1 ACLによるネットワーク トラフィックの制御
ポートACL
スイッチのレイヤ2インターフェイスにもACLを適用できます。ポートACLを使用できるのは、物理インターフェイスだけです。EtherChannelインターフェイスでは使用できません。ポートACLをインターフェイスに適用できるのは、着信方向に対してのみです。レイヤ2インターフェイスでは、次のアクセス リストがサポートされています。
- 送信元アドレスを使用する標準IPアクセス リスト
- 送信元アドレス、宛先アドレス、およびオプションのプロトコル タイプ情報を使用する拡張IPアクセス リスト
- 送信元MACアドレス、宛先MACアドレス、およびオプションのプロトコル タイプ情報を使用するMAC拡張アクセス リスト
ルータACLと同様、スイッチはインターフェイスに設定されている機能に関連付けられているACLをテストし、パケットがACL内のエントリと一致するかどうかによって、パケットの転送を許可または拒否します。ただし、レイヤ2インターフェイスで、ACLを適用できるのは、着信方向に対してのみです。 図28-1 の例では、すべてのワークステーションが同じVLAN内にある場合、レイヤ2の入力に適用されているACLによって、ホストAは人事部ネットワークへのアクセスを許可されますが、ホストBは同じネットワークへのアクセスを拒否されます。
ポートACLをトランク ポートに適用すると、そのトランク ポートにあるすべてのVLANでACLによるトラフィックのフィルタリングが実行されます。音声VLANがあるポートにポートACLを適用すると、データVLANと音声VLANの両方でそのACLによるトラフィックのフィルタリングが実行されます。
ポートACLを使用すると、IPアクセス リストを使用してIPトラフィックをフィルタリングし、MACアドレスを使用して非IPトラフィックをフィルタリングできます。同じレイヤ2インターフェイスにIPアクセス リストとMACアクセス リストを両方適用すると、そのレイヤ2インターフェイスでIPトラフィックと非IPトラフィックをフィルタリングできます。
VLANマップ
VLANマップを使用すると、 すべての トラフィックのアクセスを制御できます。VLANの内部や外部へルーティングされる、またはVLAN内でブリッジングされる すべてのパケット に対して、スイッチのVLANマップを適用できます。VLANマップはパケットを安全にフィルタリングするために必ず使用されます。ルータACLと異なり、VLANマップで方向(着信または発信)は定義されません。
VLANマップを設定すると、IPトラフィックのレイヤ3アドレスを比較できます。すべての非IPプロトコルは、MAC VLANマップを使用してMACアドレスおよびEtherTypeによってアクセス制御されます(IPトラフィックには、MAC VLANマップによるアクセス制御が 行われません )。VLANマップはスイッチを通過するパケットにのみ適用できます。ハブのホスト間、またはこのスイッチに接続された別のスイッチのホスト間を通過するトラフィックには、VLANマップを適用できません。
VLANマップを使用すると、パケットの転送はマップに指定されたアクションに基づいて許可または拒否されます。 図28-2 に、VLANマップを適用して、特定タイプのトラフィックをVLAN 10のホストAから転送できないように設定する例を示します。
図28-2 VLANマップによるトラフィックの制御
分割されたトラフィックおよび分割されていないトラフィックの処理
ネットワークを通過するIPパケットは分割できます。IPパケットを分割すると、パケットの先頭を含むフラグメントにのみ、TCP、UDPポート番号、ICMPタイプおよびコードなどのレイヤ4情報が格納されます。その他のすべてのフラグメントには、この情報が格納されません。
一部のACEではレイヤ4情報が確認されないため、このようなACEはすべてのパケット フラグメントに適用されます。レイヤ4情報をテストするACEを、分割されたIPパケットのほとんどのフラグメントに通常の方法で適用することはできません。レイヤ4情報が格納されていないフラグメントに対してレイヤ4情報がテストされる場合、一致規則は次のように変更されます。
- フラグメントのレイヤ3情報(TCPやUDPのようなプロトコル タイプなど)を確認する許可ACEの場合は、格納されていないレイヤ4情報に関係なく、フラグメントが一致するとみなされます。
- レイヤ4情報を確認する拒否ACEの場合は、フラグメントが一致しないとみなされます。ただし、フラグメントにレイヤ4情報が格納されている場合は、一致するとみなされます。
次のコマンドで設定し、3つの分割パケットに適用されるaccess-list 102の例を以下に示します。
Switch (config)# access-list 102 permit tcp any host 10.1.1.1 eq smtp
Switch (config)# access-list 102 deny tcp any host 10.1.1.2 eq telnet
Switch (config)# access-list 102 permit tcp any host 10.1.1.2
Switch (config)# access-list 102 deny tcp any any
- パケットAは、ホスト10.2.2.2のポート65000からホスト10.1.1.1のSMTPポートに送信されるTCPパケットです。このパケットが分割パケットの場合、最初のフラグメントにはすべてのレイヤ4情報が格納されているため、完全なパケットと同様にみなされ、最初のACE(許可)に一致します。SMTPポート情報が入っていなくても、残りのフラグメントも最初のACEに一致します。最初のACEはフラグメントに適用されたとき、レイヤ3情報のみを確認するためです。この例での情報は、パケットがTCPで、宛先が10.1.1.1です。
- パケットBは、ホスト10.2.2.2のポート65001からホスト10.1.1.2のTelnetポートに送信されます。このパケットが分割パケットの場合、最初のフラグメントにはレイヤ3情報およびレイヤ4情報がすべて格納されているため、2番めのACE(拒否)に一致します。このパケットの残りのフラグメントにはレイヤ4情報が格納されていないため、2番めのACEには一致しません。残りのフラグメントは3番めのACE(許可)に一致します。
最初のフラグメントが拒否されているため、ホスト10.1.1.2は完全なパケットを再構築できません。したがって、実際にはパケットBは拒否されます。ただし、ホスト10.1.1.2がパケットを再構築しようとするとき、許可されたフラグメントによってネットワーク帯域幅とこのホストのリソースが消費されます。
- 分割パケットCはホスト10.2.2.2のポート65001からホスト10.1.1.3のポートftpに送信されます。このパケットが分割バケットの場合、最初のフラグメントは4番めのACE(拒否)に一致します。その他のすべてのフラグメントも4番めのACEに一致します。これは、すべてのフラグメントについてレイヤ4情報が確認されず、レイヤ3情報によってすべてのフラグメントがホスト10.1.1.3に送信中であることが認識されたため、およびこの宛先ホストがこれ以前の許可ACEの確認対象から外れていたためです。
IP ACLの設定
レイヤ2またはレイヤ3スイッチ、あるいはVLANインターフェイス上にIP ACLを設定する方法は、他のシスコ製ルータ上にACLを設定する方法と同じです。その手順を簡単に示します。ルータACLの設定の詳細については、『 Cisco IOS IP Configuration Guide 』Release 12.2の「IP Addressing and Services」の章にある「Configuring IP Services」を参照してください。コマンドの詳細については、次のマニュアルを参照してください。
- 『 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services』Release 12.2
- 『 Cisco IOS IP Command Reference, Volume 2 of 3:Routing Protocols』Release 12.2
- 『 Cisco IOS IP Command Reference, Volume 3 of 3:Multicast』Release 12.2
Catalyst 3550スイッチでサポートされないIOS機能については、 サポートされない機能 を参照してください。
- ルータACLのハードウェアおよびソフトウェア処理
- 入力ルータACL設定時の注意事項
- サポートされない機能
- 標準および拡張IP ACLの作成
- インターフェイスまたは端末回線へのIP ACLの適用
- IP ACLの設定例
ルータACLのハードウェアおよびソフトウェア処理
ACLは主にハードウェアで処理されますが、一部のトラフィックはCPUに転送してソフトウェア処理する必要があります。ソフトウェアで転送されるトラフィックの転送速度は、ハードウェアで転送されるトラフィックに比べて大幅に低下します。両方のトラフィック フローをロギングして転送する場合、転送はハードウェアで処理されますが、ロギングはソフトウェアで処理する必要があります。ハードウェアとソフトウェアではパケット処理機能が異なるため、ロギング中であるすべてのフロー(許可フローと拒否フロー)の合計帯域幅が非常に大きい場合は、転送されたパケットの一部をロギングできません。
ACLによって多数のパケットがCPUに転送されると、スイッチのパフォーマンスが低下することがあります。
show ip access-lists イネーブルEXECコマンドを入力したときに表示される一致の個数に、ハードウェアでアクセス制御されるパケットは含まれません。ハードウェアでACL処理されるスイッチド パケットおよびルーテッド パケットの基本的な統計情報を取得する場合は、show access-lists hardware countersイネーブルEXECコマンドを使用します。
- 標準ACLおよび拡張ACL(入力および出力)の許可アクションや拒否アクションをハードウェアで制御し、アクセス制御のセキュリティを強化します。
- IP到達不能 がディセーブルの場合、 log を指定しないと、セキュリティACLの拒否( deny )ステートメントと一致するフローがハードウェアによって廃棄されます。許可( permit )ステートメントと一致するフローは、ハードウェアでスイッチングされます。ポートACLのロギングはサポートされません。
- ルータACLのACEに log キーワードを追加すると、パケットのコピーがCPUに送信され、ロギングのみが行われます。ACEが 許可 ステートメントの場合も、パケットはハードウェアでスイッチングおよびルーティングされます。
入力ルータACL設定時の注意事項
入力ルータACLでは、ACLが適用されるとTCAMエントリ数を大幅に増加できます。TCAMエントリ数が、割り当てられたリソース数を超える場合、ACLフィルタリングはハードウェアの代わりにソフトウェアで実行されてパフォーマンスの低下を招くことがあります。
- より多くのアクセス リストを許可するようSDMテンプレートを変更するには、 sdm prefer access グローバル コンフィギュレーション コマンドを使用します。
- 入力ルータACLの代わりに出力ルータACLを使用します。
- 明示的な許可または拒否を設定することで、入力ルータACLのTCAMの利用率を最小限にします。
入力ルータACLが適用されると、ACLは、ルーティング プロトコル パケットと比較し、パケットをプロトコル キューへ送信する暗黙的なACLと自動的に統合されます。この統合により、TCAMエントリが追加されます。エントリ数を最小限にするには、ACLの最初でACEを許可または拒否するよう設定することによって、RIP、EIGRP、OSPF、BGP、PIMなどのルーティング プロトコルを明示的に許可または拒否するようルータACLを設定できます。
次に、TCAMの利用率を最小限にするよう入力ルータACLを設定する例を示します。
Switch(config)# access-list 100 [ permit | deny ] tcp any any eq bgp
Switch(config)# access-list 100 [ permit | deny ] eigrp any any
Switch(config)# access-list 100 [ permit | deny ] pim any any
Switch(config)# access-list 100 [ permit | deny ] ospf any any
Switch(config)# access-list 100 [ permit | deny ] udp any any eq rip
Switch(config)# access-list 100 ...... ACL 100's ACE(s)
サポートされない機能
Catalyst 3550スイッチは、次のCisco IOSルータACL関連機能をサポートしません。
- 非IPプロトコルのACL( 表28-1アクセス リスト番号 を参照)
- ブリッジグループACL
- IPアカウンティング
- 着信速度および発信速度の制限(QoS ACLによる制限を除く)
- ヘッダー長が5未満のIPパケットは、アクセス制御されません(ICMPパラメータ エラーが発生します)。
- 再帰ACL
- ダイナミックACL(スイッチのクラスタリング機能で使用される一部の特殊ダイナミックACLは除く)
- レイヤ2ポートACLに関して、ロギングと送信ACLはサポートされません。
標準および拡張IP ACLの作成
ここでは、ルータIP ACL作成手順の概要を示します。ACLは許可および拒否条件を順に並べたものです。パケットは、アクセス リスト内の条件に対して1つずつテストされます。最初に見つかった一致条件によって、パケットが許可されるか、または拒否されるかが決まります。最初の一致が見つかるとテストは終了するので、条件の順序が重要となります。一致する条件がない場合、パケットは拒否されます。
ステップ 2 ACLをインターフェイスまたは端末回線に適用します。標準および拡張IP ACLをVLANマップに適用することもできます。
ソフトウェアは次に示す形式のACL、またはIPのアクセス リストをサポートします。
- 標準IPアクセス リストは、送信元アドレスを使用して一致処理を行います。
- 拡張IPアクセス リストは、送信元アドレスおよび宛先アドレスを使用して一致処理を行います。より細部にわたる制御を行う場合は、オプションのプロトコルタイプを使用します。
ここでは、アクセス リストの詳細、およびアクセス リストを使用する手順について説明します。
アクセス リスト番号
ACLを表す番号は、作成しているアクセス リストのタイプを示します。 表28-1 に、アクセス リスト番号および対応するアクセスリスト タイプ、スイッチでのアクセス リストに対するサポートの有無を示します。スイッチでは、IP標準およびIP拡張アクセス リストがサポートされています(番号は1〜199、1300〜2699)。
番号指定標準ACLの作成
番号指定の標準ACLを作成するには、イネーブルEXECモードで次の手順を実行します。
ACL全体を削除するには、 no access-list access-list-number グローバル コンフィギュレーション コマンドを使用します。番号指定のアクセス リストからは、ACEを個別に削除できません。
次に、IPホスト171.69.198.102へのアクセスを拒否してそれ以外のアドレスへのアクセスを許可してその結果を表示する標準ACLの作成例を示します。
Switch (config)# access-list 2 deny host 171.69.198.102
Switch (config)# access-list 2 permit any
host 一致条件が指定されたエントリ、および0.0.0.0の無視( don’t care )マスクが指定されたエントリが、リストの先頭(ゼロ以外の無視マスクが指定された、すべてのエントリの上)に来るように、標準アクセス リストの順序が書き換えられます。したがって、 show コマンドの出力およびコンフィギュレーション ファイルで、ACEは必ずしも入力した順番に表示されません。
標準IPアクセス リストによって許可または拒否されたパケットに関するログ メッセージが、スイッチのソフトウェアによって表示されます。つまり、ACLと一致するパケットがあった場合は、そのパケットに関するログ通知メッセージがコンソールに送信されます。コンソールにロギングされるメッセージのレベルは、Syslogメッセージを制御するロギング コンソール コマンドで制御されます。
ACLを起動した最初のパケットについては、ログ メッセージがすぐに表示されますが、それ以降のパケットについては、5分間の収集時間が経過してから表示またはロギングされます。ログ メッセージにはアクセス リスト番号、パケットの許可または拒否に関する状況、パケットの送信元IPアドレス、および直前の5分間に許可または拒否された送信元からのパケット数が示されます。
作成したACLを、回線またはインターフェイスに適用する必要があります( インターフェイスまたは端末回線へのIP ACLの適用 を参照)。
番号指定拡張ACLの作成
標準ACLの場合、一致基準には送信元アドレスのみが使用されますが、拡張ACLの場合は、一致処理に送信元アドレスおよび宛先アドレスを使用したり、オプションのプロトコル タイプ情報を使用したりして、より細部にわたる制御を行うことができます。番号指定の拡張ACLを作成したあとにACEを新たに作成するときは、リストの末尾に新しいACEが配置されることに注意してください。リストを再び並べ替えたり、番号が指定されたACLの特定の位置でACEを追加または削除することはできません。
一部のプロトコルには、専用のパラメータおよびキーワードを使用することもできます。
拡張ACLでは、次のIPプロトコルがサポートされています(プロトコル キーワードは括弧内の太字で示しています)。
Authentication Header Protocol( ahp )、Enhanced Interior Gateway Routing Protocol( eigrp )、Encapsulation Security Payload( esp )、Generic Routing Encapsulation( gre )、ICMP( icmp )、IGMP( igmp )、Interior Gateway Routing Protocol( igrp )、任意のInterior Protocol( ip )、IP in IPトンネリング( ipinip )、KA9Q NOS互換IP over IPトンネリング( nos )、Open Shortest Path Firstルーティング( ospf )、Payload Compression Protocol( pcp )、Protocol Independent Multicast( pim )、TCP( tcp )、またはUDP( udp )
各プロトコルに関連するキーワードの詳細については、次のソフトウェア コンフィギュレーション ガイドおよびコマンド リファレンスを参照してください。
- 『 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services』Release 12.2
- 『 Cisco IOS IP Command Reference, Volume 2 of 3:Routing Protocols』Release 12.2
- 『 Cisco IOS IP Command Reference, Volume 3 of 3:Multicast』Release 12.2
サポートされているパラメータは、TCP、UDP、ICMP、IGMP、または他のIPの、いずれかのカテゴリにグループ分けできます。
拡張ACLを作成するには、イネーブルEXECモードで次の手順を実行します。
|
access-list
access-list-number
|
access-list-number は100〜199または2000〜2699の10進数です。 条件が一致する場合にパケットを拒否するか許可するかを指定するため、 deny または permit を入力します。 protocol を指定する場合は、IPプロトコルの名前または番号を入力します。 ahp 、 eigrp 、 esp 、 gre 、 icmp 、 igmp 、 igrp 、 ip 、 ipinip 、 nos 、 ospf 、 pcp 、 pim 、 tcp 、 udp 、IPプロトコル番号を表す0〜255の整数を使用できます。すべてのインターネット プロトコル(ICMP、TCP、UDPを含む)と一致させる場合は、キーワード ip を使用します。
source はパケットの送信元であるネットワークまたはホストの番号です。 |
|
|
destination-wildcard を指定すると、宛先にワイルドカード ビットが適用されます。 source、source-wildcard、destination、destination-wildcardは、次の3つの方法で指定できます。
|
||
|
access-list access-list-number { deny | permit } protocol any any [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [log-input] [ time-range time-range-name ] [ dscp dscp ] |
アクセス リスト コンフィギュレーション モードで、送信元と送信元ワイルドカードの値0.0.0.0 255.255.255.255の短縮形を使用するか、または宛先と宛先ワイルドカードの値0.0.0.0 255.255.255.255の短縮形を使用し、拡張IPアクセス リストを定義します。 |
|
|
access-list
access-list-number
{
deny
|
permit
}
protocol
|
送信元と送信元ワイルドカードの値 source 0.0.0.0の短縮形を使用するか、または宛先と宛先ワイルドカードの値 destination 0.0.0.0の短縮形を使用し、拡張IPアクセス リストを定義します。 |
|
|
access-list
access-list-number
|
(任意)拡張TCPアクセス リストおよびアクセス条件を定義します。 次に示す例外を除き、ステップ2aで説明するパラメータと同じパラメータを使用します。 (任意) operator および port を入力すると、送信元ポート( source source-wildcard のあとに入力した場合)または宛先ポート( destination destination-wildcard のあとに入力した場合)が比較されます。使用可能な演算子は eq (一致)、 gt (より大きい)、 lt (未満)、 neq (不一致)、 range (包含範囲)などです。演算子にはポート番号を指定する必要があります( range の場合は2つのポート番号をスペースで区切って指定する必要があります)。 port にポート番号を10進数(0〜65535)として入力するか、またはTCPポート名を入力します。TCPポート名を確認するには、?を使用するか、『 Cisco IOS IP Configuration Guide 』Release 12.2の「IP Addressing and Services」の章にある「Configuring IP Services」を参照してください。TCPをフィルタリングするときは、TCPポートの番号または名前のみを使用します。 |
|
|
access-list
access-list-number
|
(任意)拡張UDPアクセス リストおよびアクセス条件を定義します。 UDPパラメータはTCPに関して説明されているパラメータと同じです。ただし、[ operator [ port ]]ポート番号またはポート名は、UDPポートの番号または名前とします。UDPの場合、 flag および established パラメータは無効です。 |
|
|
access-list
access-list-number
|
(任意)拡張ICMPアクセス リストおよびアクセス条件を定義します。 ICMPパラメータはステップ2aのIPプロトコルで説明されているパラメータと同じですが、ICMPメッセージ タイプとコード パラメータが追加されています。オプションのキーワードは次の意味をもちます。
|
|
|
access-list
access-list-number
|
(任意)拡張IGMPアクセス リストおよびアクセス条件を定義します。 IGMPパラメータはステップ2aのIPプロトコルで説明されているパラメータと同じですが、次に示すパラメータが追加されています。
igmp-type
― IGMPメッセージ タイプと比較するには、0〜15の番号またはメッセージ名(
dvmrp
、
host-query
、
|
|
アクセス リスト全体を削除するには、 no access-list access-list-number グローバル コンフィギュレーション コマンドを使用します。番号指定のアクセス リストからは、ACEを個別に削除できません。
次に、ネットワーク171.69.198.0内の任意のホストからネットワーク172.20.52.0内の任意のホストへのTelnetアクセスを拒否し、それ以外のアドレスへのアクセスを許可する拡張アクセス リストを作成、表示する例を示します( eq キーワードを宛先アドレスのあとに指定すると、Telnetに対応するTCP宛先ポート番号がテストされます)。
Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
Switch(config)# access-list 102 permit tcp any any
10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet
ACLが作成されたあとに追加されたACE(端末から入力されたACEなど)は、リストの末尾に配置されます。番号が指定されたアクセス リストの特定の位置でACEを追加または削除することはできません。
作成したACLを、回線またはインターフェイスに適用する必要があります( インターフェイスまたは端末回線へのIP ACLの適用 を参照)。
ACLでのACEの再シーケンス
Cisco IOS Release 12.2(18)SE以降では、アクセス リスト内のエントリのシーケンス番号は新しいACLを作成するときに自動的に生成されます。 ip access-list resequence グローバル コンフィギュレーション コマンドを使用してACLのシーケンス番号を編集してACEが適用される順番を変更できます。たとえば、新しいACEをACLに追加した場合、リストの最後に追加されます。シーケンス番号を変更することで、ACEをACLの別の位置に移動できます。
ip access-list resequence コマンドの詳細については、次のURLを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122s/122snwft/release/122s14/fsaclseq.htm
名前指定の標準および拡張IP ACLの作成
IP ACLは、番号でなく英数字(名前)で指定することもできます。名前指定のACLを使用すると、番号指定のアクセス リストを使用する場合よりも多くのIPアクセス リストをスイッチに設定できます。アクセス リストを番号でなく名前で指定する場合は、モードおよびコマンド構文が若干異なります。ただし、IPアクセス リストを使用するすべてのコマンドで、名前指定のアクセス リストを使用できるとは限りません。
名前指定のACLを設定する前に、次に示す注意事項および制限事項を考慮してください。
- 番号指定のACLを指定できるすべてのコマンドで、名前指定のACLを指定できるとは限りません。インターフェイスのパケット フィルタおよびルート フィルタ用のACL、VLANマップには名前を使用できます。
- 標準ACLおよび拡張ACLに、同じ名前を設定することはできません。
- 番号指定のACLも使用できます( 標準および拡張IP ACLの作成 を参照)。
- VLANマップには、標準ACLおよび拡張ACL(名前指定または番号指定)を適用できます。
名前を使用して標準ACLを作成するには、イネーブルEXECモードで次の手順を実行します。
名前指定の標準ACLを削除するには、 no ip access-list standard name グローバル コンフィギュレーション コマンドを使用します。
名前を使用して拡張ACLを作成するには、イネーブルEXECモードで次の手順を実行します。
|
名前を使用して拡張IPアクセス リストを定義し、アクセス リスト コンフィギュレーション モードを開始します。
|
||
|
{ deny | permit } protocol { source [ source-wildcard ] | host source | any } { destination [ destination-wildcard ] | host destination | any } [ precedence precedence ] [ tos tos ] [ established ] [ log ] [ time-range time-range-name ] |
アクセスリスト コンフィギュレーション モードで、許可または拒否の条件を指定します。 log キーワードを使用すると、違反を含むアクセス リストのログ メッセージを取得できます。 プロトコルおよびその他キーワードの定義については、 番号指定拡張ACLの作成 を参照してください。
|
|
名前指定の拡張ACLを削除するには、 no ip access-list extended name グローバル コンフィギュレーション コマンドを使用します。
標準または拡張ACLを作成するときは、ACLの末尾に暗黙的な拒否ステートメントがデフォルトで存在し、それ以前のステートメントで一致が見つからなかったすべてのパケットに適用されることに注意してください。標準ACLでは、対応するIPホスト アドレスのアクセス リストを指定するときにマスクを省略すると、0.0.0.0がマスクとして使用されます。
ACLを作成したあとに追加されたACEは、リストの末尾に配置されます。特定のACLでは選択的にACLエントリを追加することはできません。ただし、 no permit および no deny アクセスリスト コンフィギュレーション モード コマンドを使用すると、名前指定のACLからエントリを削除できます。次に、名前指定のアクセス リスト border-list からACEを個別に削除する例を示します。
Switch(config)# ip access-list extended border-list
Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any
番号指定のACLではなく、名前指定のACLを使用することで、名前指定のACLから行を個別に削除することが可能となります。
作成したACLを、回線またはインターフェイスに適用する必要があります( インターフェイスまたは端末回線へのIP ACLの適用 を参照)。
ACLでの時間範囲の使用法
曜日および時刻に基づいて拡張ACLを選択的に適用するには、 time-range グローバル コンフィギュレーション コマンドを使用します。最初に時間範囲の名前を定義し、時間範囲の時刻、日付、または曜日を設定します。次に、ACLを適用するときに時間範囲名を入力し、アクセス リストに制限を適用します。時間範囲を使用することで、ACLの許可ステートメントまたは拒否ステートメントが有効な時期(指定期間内、指定曜日など)を定義できます。 time-range キーワードおよび引数については、前述の 標準および拡張IP ACLの作成 および 名前指定の標準および拡張IP ACLの作成 に記載されている、名前指定および番号指定の拡張ACLに関するタスク表を参照してください。
- アプリケーションなどのリソース(IPアドレスとマスクのペア、およびポート番号で識別)へのユーザ アクセスをより正確に許可または拒否できます。
- ログ メッセージを制御できます。ACLエントリを使用して特定の時刻に関してのみトラフィックをロギングできるため、ピーク時間に生成される多数のログを分析しなくても、簡単にアクセスを拒否できます。
ACLのtime-rangeパラメータを設定するには、イネーブルEXECモードで次の手順を実行します。
|
作成する時間範囲には意味のある名前( workhours など)を割り当て、時間範囲コンフィギュレーション モードを開始します。名前の先頭には文字を指定し、途中にスペースまたは引用符を含めないようにします。 |
||
|
absolute
[
start
time date
] |
||
設定された時間範囲の制限を削除するには、 no time-range time-range-name グローバル コンフィギュレーション コマンドを使用します。
異なる時刻に機能するように設定する複数の項目がある場合は、このステップを繰り返します。
次に、営業時間( workhours )および会社の休業日として2005年1月1日を表す時間範囲を設定し、その設定を確認する例を示します。
Switch(config)# time-range workhours
Switch(config-time-range)# periodic weekdays 8:00 to 12:00
Switch(config-time-range)# periodic weekdays 13:00 to 17:00
Switch(config-time-range)# exit
Switch(config)# time-range new_year_day_2005
Switch(config-time-range)# absolute start 00:00 1 Jan 2005 end 23:59 1 Jan 2005
Switch(config-time-range)# end
time-range entry: new_year_day_2005 (inactive)
absolute start 00:00 01 January 2005 end 23:59 01 January 2005
time-range entry: workhours (inactive)
periodic weekdays 8:00 to 12:00
periodic weekdays 13:00 to 17:00
適用される時間範囲に関しては、適用先の拡張ACL内に、時間範囲名を指定して記述する必要があります。次に、定義された休日中に任意の送信元から任意の宛先に送信されるTCPトラフィックを拒否し、営業時間中にすべてのTCPトラフィックを許可する拡張アクセス リスト188を作成、確認する例を示します。
Switch(config)# access-list 188 deny tcp any any time-range new_year_day_2005
Switch(config)# access-list 188 permit tcp any any time-range workhours
10 deny tcp any any time-range new_year_day_2005 (inactive)
20 permit tcp any any time-range workhours (inactive)
次に、名前指定のACLを使用して、同じトラフィックを許可および拒否する例を示します。
Switch(config)# ip access-list extended deny_access
Switch(config-ext-nacl)# deny tcp any any time-range new_year_day_2005
Switch(config)# ip access-list extended may_access
Switch(config-ext-nacl)# permit tcp any any time-range workhours
Extended IP access list lpip_default
Extended IP access list deny_access
10 deny tcp any any time-range new_year_day_2005 (inactive)
Extended IP access list may_access
40 permit tcp any any time-range workhours (inactive)
ACLへのコメントの挿入
remark キーワードを使用すると、エントリに関するコメント(備考)を任意のIP標準および拡張ACLに追加できます。コメントを追加すると、ACLの把握および走査がより簡単になります。各コメント行には、最大100文字まで入力できます。
コメントは許可ステートメントまたは拒否ステートメントの前後に指定できます。コメントに対応する許可ステートメントまたは拒否ステートメントが明確になるように、コメントの記述位置を統一する必要があります。混乱を避けるため、たとえば、許可ステートメントまたは拒否ステートメントの前に記述されているコメントと、後ろに記述されているコメントが混在しないようにします。
番号指定のIP標準ACLまたは拡張ACLにコメントを追加する場合は、 access-list access-list number remark remark グローバル コンフィギュレーション コマンドを使用します。コメントを削除するには、上記のコマンドの no 形式を使用します。
次の例では、Jonesが所有するワークステーションのアクセスは許可されますが、Smithが所有するワークステーションのアクセスは禁止されます。
Switch(config)# access-list 1 remark Permit only Jones workstation through
Switch(config)# access-list 1 permit 171.69.2.88
Switch(config)# access-list 1 remark Do not allow Smith workstation through
Switch(config)# access-list 1 deny 171.69.3.13
名前指定のIP ACLにエントリする場合は、 remark アクセス リスト コンフィギュレーション コマンドを使用します。コメントを削除するには、上記のコマンドの no 形式を使用します。
次の例では、Jonesサブネットでの発信Telnetの使用が禁止されます。
Switch(config)# ip access-list extended telnetting
Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out
Switch(config-ext-nacl)# deny tcp host 171.69.2.88 any eq telnet
インターフェイスまたは端末回線へのIP ACLの適用
作成したIP ACLは、1つまたは複数のインターフェイスまたは端末回線に適用できます。レイヤ3インターフェイスには、発信と着信のいずれかのACLを適用できますが、レイヤ2インターフェイスに適用できるのは着信ACLだけです。ここでは、端末回線とネットワーク インターフェイスの両方にアクセス リストを適用する方法について説明します。次の注意事項を考慮してください。
- 回線へのアクセスを制御する場合は、番号を使用する必要があります。回線に適用できるのは、番号指定のACLだけです。
- インターフェイスへのアクセスを制御する場合は、名前または番号を使用できます。
- すべての仮想端末回線にユーザが接続する可能性があるため、すべての仮想端末回線に同一の制限を設定します。
- レイヤ3インターフェイスにACLが適用され、スイッチでルーティングがイネーブルになっていない場合は、SNMP、Telnet、Webトラフィックなど、CPUで想定されているパケットのみがフィルタリングされます。レイヤ2インターフェイスにACLを適用する場合、ルーティングをイネーブルにする必要はありません。
- 入力ルータACLとVLANマップが設定されているスイッチで、ポートACLを使用することはできません。
- − 入力レイヤ3 ACLまたはVLANマップが適用されているスイッチのレイヤ2インターフェイスにACLを適用しようとすると、 conflict エラー メッセージが生成されます。スイッチに出力レイヤ3 ACLが適用されている場合は、そのスイッチのレイヤ2インターフェイスにACLを適用 できます 。
- − レイヤ2 ACLが適用されているスイッチで入力レイヤ3インターフェイスにACLを適用しようとすると、 conflict エラー メッセージが生成されます。スイッチにレイヤ2 ACLが適用されている場合は、そのスイッチの出力レイヤ3インターフェイスにACLを適用 できます 。
- レイヤ2インターフェイスには、入力に対するIPアクセス リストを1つ適用できます。レイヤ3インターフェイスには、入力と出力に1つずつIPアクセス リストを適用できます。すでにIP ACLが設定されているインターフェイスにIP ACLを適用すると(同じ方向で)、新しいACLが前に設定したACLに置き換わります。
- ポートACLを適用できるのは、物理レイヤ2インターフェイスだけです。EtherChannelインターフェイスには、ポートACLを適用できません。
ACL内のアドレスと仮想端末回線との間の着信接続および発信接続を制限するには、イネーブルEXECモードで次の手順を実行します。
|
設定する特定の回線を指定し、インライン コンフィギュレーション モードを開始します。 line-number は、連続した一連の番号の最初の回線番号で、回線タイプを指定するときに設定する必要があります。指定できる範囲は0〜16です。 |
||
端末回線に関するアクセス制限を削除するには、 no access-class access-list-number { in | out }ライン コンフィギュレーション コマンドを使用します。
レイヤ2またはレイヤ3インターフェイスへのアクセスを制御するためにIPアドレス リストを適用するには、イネーブルEXECモードで次の手順を実行します。
|
IPアクセス リストを使用し、指定したインターフェイスへのアクセスを制御します。標準または拡張のIPアクセス番号または名前を入力できます。
|
||
指定されたアクセス グループを削除するには、 no ip access-group { access-list-number | name } { in | out }インターフェイス コンフィギュレーション コマンドを使用します。
次に、GigabitEthernet 0/3インターフェイスにアクセス リスト2を適用し、インターフェイスに入るパケットをフィルタリングする例を示します。
Switch(config)# interface gigabitethernet0/3
Router(config-if)# ip access-group 2 in
着信ACLの場合、スイッチは受信したパケットをACLと照合します。ACLによってパケットが許可された場合は、パケットの処理が続行されます。拒否された場合、パケットは廃棄されます。
発信ACLの場合(レイヤ3インターフェイスのみ)、スイッチは制御対象インターフェイスに着信し、ルーティングされたパケットをACLと照合します。パケットが許可された場合、パケットは送信されます。拒否された場合、パケットは廃棄されます。
ICMP到達不能メッセージを送信するように設定された入力インターフェイスでパケットが廃棄された場合は、その原因が入力インターフェイスのACLまたは発信インターフェイスのACLのいずれであっても、これらのメッセージが送信されます。ICMP到達不能メッセージは通常、入力インターフェイス1つにつき、0.5秒ごとに1つだけ生成されます。ただし、この設定は ip icmp rate-limit unreachable グローバル コンフィギュレーション コマンドを使用して変更できます。
未定義のACLをインターフェイスに適用すると、スイッチはACLがインターフェイスに適用されていないと判断して処理を行い、すべてのパケットが許可されてしまいます。ネットワーク セキュリティのため、未定義のACLを使用する場合は注意してください。
IP ACLの設定例
ここでは、IP ACLの設定例を示します。ACLの編集の詳細については、『 Cisco IOS Security Configuration Guide 』Release 12.2および『 Cisco IOS IP Configuration Guide 』Release 12.2の「IP Addressing and Services」の章にある「Configuring IP Services」を参照してください。
図28-3 に、小規模ネットワークが構築されたオフィス環境を示します。ルーテッド ポート2に接続されたサーバAには、すべての従業員がアクセスできる利益などの情報が格納されています。ルーテッド ポート1に接続されたサーバBには、機密の給与支払いデータが格納されています。サーバAにはすべてのユーザがアクセスできますが、サーバBにアクセスできるユーザは制限されています。
ルータACLを使用して上記のように設定するには、次のいずれかの方法を使用します。
図28-3 ルータACLによるトラフィックの制御
次の例では、標準ACLを使用してインターフェイスからサーバBに着信するトラフィックをフィルタリングし、経理部の送信元アドレス172.20.128.64〜172.20.128.95から送信されるトラフィックのみを許可します。このACLは、指定された送信元アドレスのルーテッド ポート1から送信されるトラフィックに適用されます。
Switch(config)# access-list 6 permit 172.20.128.64 0.0.0.31
permit 172.20.128.64, wildcard bits 0.0.0.31
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 6 out
次の例では、拡張ACLを使用してサーバBからポート1に着信するトラフィックをフィルタリングし、任意の送信元アドレス(この場合はサーバB)から経理部の宛先アドレス172.20.128.64〜172.20.128.95に送信されるトラフィックのみを許可します。このACLは、ルーテッド ポート1に着信するトラフィックに適用され、指定の宛先アドレスに送信されるトラフィックのみを許可します。拡張ACLを使用する場合は、送信元および宛先情報の前に、プロトコル(IP)を入力する必要があります。
Switch(config)# access-list 106 permit ip any 172.20.128.64 0.0.0.31
permit ip any 172.20.128.64 0.0.0.31
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 106 in
番号指定ACL
次の例のネットワーク36.0.0.0は、2番めのオクテットがサブネットを指定するクラスAネットワークです。つまり、サブネット マスクは255.255.0.0です。ネットワーク36.0.0.0アドレスの3番めおよび4番めのオクテットは、特定のホストを指定します。アクセス リスト2が使用されているため、サブネット48のアドレスが1つ許可され、同じサブネットの他のアドレスはすべて拒否されます。このアクセス リストの最終行は、他のすべてのネットワーク36.0.0.0サブネット上のアドレスが許可されることを示します。このACLは、Gigabit Ethernet 0/1インターフェイスに入るパケットに適用されます。
Switch(config)# access-list 2 permit 36.48.0.3
Switch(config)# access-list 2 deny 36.48.0.0 0.0.255.255
Switch(config)# access-list 2 permit 36.0.0.0 0.255.255.255
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 2 in
拡張ACL
次の例の先頭行は、1023よりも大きい宛先ポートへの着信TCP接続を許可します。2番めの行は、ホスト128.88.1.2のSMTPポートへの着信TCP接続を許可します。3番めの行は、エラー フィードバック用の着信ICMPメッセージを許可します。
Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 gt 1023
Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25
Switch(config)# access-list 102 permit icmp any any
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 102 in
拡張ACLを使用する別の例として、インターネットに接続されたネットワーク上の任意のホストに、インターネットの任意のホストへのTCP接続を設定する場合を考えます。ただし、IPホストには、専用メール ホストのメール(SMTP)ポートへの接続を除き、ネットワーク上のホストへのTCP接続を設定しないものとします。
SMTPは、接続の一端ではTCPポート25、もう一端ではランダムなポート番号を使用します。接続している間は、同じポート番号が使用されます。インターネットから着信するメール パケットの宛先ポートは25です。発信パケットのポート番号は予約されています。ルータの背後に置かれた安全なシステムでは、常にポート25でのメール接続が使用されているため、着信サービスと発信サービスを個別に制御できます。ACLは発信インターフェイスの入力ACLおよび着信インターフェイスの出力ACLとして設定される必要があります。
次の例では、ネットワークはアドレスが128.88.0.0のクラスBネットワークで、メール ホスト アドレスは128.88.1.2です。 established キーワードは、確立された接続を表示するTCP専用のキーワードです。TCPデータグラムにACKまたはRSTビットが設定され、パケットが既存の接続に属していることが判明すると、一致とみなされます。GigabitEthernet 0/1インターフェイスは、ルータをインターネットに接続するインターフェイスです。
Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established
Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 102 in
名前指定ACL
次のように設定すると、 internet_filter という名前の標準ACLおよび marketing_group という名前の拡張ACLが作成されます。 internet_filter ACLは、送信元アドレス1.2.3.4から送信されるすべてのトラフィックを許可します。
Switch(config)# ip access-list standard Internet_filter
Switch(config-ext-nacl)# permit 1.2.3.4
marketing_group ACLは、宛先アドレスと宛先ワイルドカードの値171.69.0.0 0.0.255.255への任意のTCP Telnetトラフィックを許可し、その他のTCPトラフィックを拒否します。また、任意のICMPトラフィックを許可し、任意の送信元から、宛先ポートが1024より小さい171.69.0.0〜179.69.255.255の宛先アドレスへ送信されるUDPトラフィックを拒否します。それ以外のすべてのIPトラフィックは拒否され、結果を示すログが表示されます。
Switch(config)# ip access-list extended marketing_group
Switch(config-ext-nacl)# permit tcp any 171.69.0.0 0.0.255.255 eq telnet
Switch(config-ext-nacl)# deny tcp any any
Switch(config-ext-nacl)# permit icmp any any
Switch(config-ext-nacl)# deny udp any 171.69.0.0 0.0.255.255 lt 1024
Switch(config-ext-nacl)# deny ip any any log
次に示すACLは、レイヤ3ポートとして設定されたGigabitEthernet 0/5ポートに適用されます。 Internet_filter ACLは着信トラフィックに、 marketing_group ACLは発信トラフィックに適用されます。
Switch(config)# interface gigabitethernet0/5
Switch(config-if)# no switchport
Switch(config-if)# ip address 2.0.5.1 255.255.255.0
Switch(config-if)# ip access-group Internet_filter out
Switch(config-if)# ip access-group marketing_group in
IP ACLに適用される時間範囲
次の例では、月曜日から金曜日の午前8時〜午後6時の間、IPのHTTPトラフィックが拒否されます。UDPトラフィックは、土曜日および日曜日の正午〜午後8時の間のみ許可されます。
Switch(config)# time-range no-http
Switch(config)# periodic weekdays 8:00 to 18:00
Switch(config)# time-range udp-yes
Switch(config)# periodic weekend 12:00 to 20:00
Switch(config)# ip access-list extended strict
Switch(config-ext-nacl)# deny tcp any any eq www time-range no-http
Switch(config-ext-nacl)# permit udp any any time-range udp-yes
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group strict in
コメント付きのIP ACLエントリ
次に示す番号指定ACLの例では、Jonesが所有するワークステーションのアクセスは許可されますが、Smithが所有するワークステーションのアクセスは禁止されます。
Switch(config)# access-list 1 remark Permit only Jones workstation through
Switch(config)# access-list 1 permit 171.69.2.88
Switch(config)# access-list 1 remark Do not allow Smith workstation through
Switch(config)# access-list 1 deny 171.69.3.13
次に示す番号指定ACLの例では、WinterおよびSmithのワークステーションでのWeb閲覧が禁止されます。
Switch(config)# access-list 100 remark Do not allow Winter to browse the web
Switch(config)# access-list 100 deny host 171.69.3.85 any eq www
Switch(config)# access-list 100 remark Do not allow Smith to browse the web
Switch(config)# access-list 100 deny host 171.69.3.13 any eq www
次に示す名前指定ACLの例では、Jonesのサブネットのアクセスが禁止されます。
Switch(config)# ip access-list standard prevention
Switch(config-std-nacl)# remark Do not allow Jones subnet through
Switch(config-std-nacl)# deny 171.69.0.0 0.0.255.255
次に示す名前指定ACLの例では、Jonesのサブネットでの発信Telnetの使用が禁止されます。
Switch(config)# ip access-list extended telnetting
Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out
Switch(config-ext-nacl)# deny tcp 171.69.0.0 0.0.255.255 any eq telnet
ACLのロギング
ルータACLでは、2種類のロギングがサポートされています。 log キーワードを指定すると、エントリと一致するパケットに関するログ通知メッセージがコンソールに送信されます。 log-input キーワードを指定すると、ログ エントリに入力インターフェイスが追加されます。
次の例では、名前指定の標準アクセス リスト stan1 は10.1.1.0 0.0.0.255からのトラフィックを拒否し、その他のすべての送信元からのトラフィックを許可します。 log キーワードも指定されています。
Switch(config)# ip access-list standard stan1
Switch(config-std-nacl)# deny 10.1.1.0 0.0.0.255 log
Switch(config-std-nacl)# permit any log
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group stan1 in
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
Console logging: level debugging, 37 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 37 messages logged
Trap logging: level debugging, 39 message lines logged
00:00:48: NTP: authentication delay calculation problems
00:09:34:%SEC-6-IPACCESSLOGS:list stan1 permitted 0.0.0.0 1 packet
00:09:59:%SEC-6-IPACCESSLOGS:list stan1 denied 10.1.1.15 1 packet
00:10:11:%SEC-6-IPACCESSLOGS:list stan1 permitted 0.0.0.0 1 packet
00:15:33:%SEC-6-IPACCESSLOGS:list stan1 denied 10.1.1.15 2009 packets
次に、名前指定の拡張アクセス リスト ext1 によって、任意の送信元から10.1.1.0 0.0.0.255へのICMPパケットを許可し、すべてのUDPパケットを拒否する例を示します。
Switch(config)# ip access-list extended ext1
Switch(config-ext-nacl)# permit icmp any 10.1.1.0 0.0.0.255 log
Switch(config-ext-nacl)# deny udp any any log
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# ip access-group ext1 in
01:24:23:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 1 packet
01:25:14:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 7 packets
01:26:12:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 1 packet
01:31:33:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 8 packets
IP ACLのすべてのロギング エントリは%SEC-6-IPACCESSLOGで開始します。エントリの形式は、一致したACLやアクセス エントリの種類に応じて若干異なります。
次に、 log-input キーワードを指定した場合の出力メッセージの例を示します。
00:04:21:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 (Vlan1 0001.42ef.a400) -> 10.1.1.61 (0/0), 1 packet
log キーワードを使用して同じ種類のパケットに関するログ メッセージを作成した場合、ログ メッセージには入力インターフェイス情報が追加されません。
00:05:47:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 -> 10.1.1.61 (0/0), 1 packet
名前指定のMAC拡張ACLの設定
VLANおよび物理レイヤ2インターフェイスで非IPトラフィックをフィルタリングする場合は、MACアドレスおよび名前指定のMAC拡張ACLを使用します。手順については、他の名前指定拡張ACLの場合と同様です。アクセス リストの名前として番号を使用することもできますが、700〜799のMACアクセス リスト番号はサポートされません。
mac access-list extended コマンドでサポートされている非IPプロトコルの詳細については、このリリースのコマンド リファレンスを参照してください。
名前指定のMAC拡張ACLを作成するには、イネーブルEXECモードで次の手順を実行します。
ACL全体を削除するには、 no mac access-list extended name グローバル コンフィギュレーション コマンドを使用します。名前指定のMAC拡張ACLからACEを個別に削除することもできます。
次に、DECnet Phase IVというEtherTypeのトラフィックのみを拒否し、その他のすべてのタイプのトラフィックを許可する、 mac1 という名前のアクセス リストを作成、表示する例を示します。
Switch(config)# mac access-list extended mac1
Switch(config-ext-macl)# deny any any decnet-iv
Switch(config-ext-macl)# permit any any
レイヤ2インターフェイスへのMAC ACLの適用
MAC ACLを作成し、それをレイヤ2インターフェイスに適用すると、そのインターフェイスに着信する非IPトラフィックをフィルタリングできます。MAC ACLを適用する場合は、次の注意事項を考慮してください。
- 入力レイヤ3 ACLまたはVLANマップが適用されているスイッチのレイヤ2インターフェイスに、ACLを適用できません。適用しようとすると、エラー メッセージが生成されます。出力レイヤ3 ACLが適用されているスイッチのレイヤ2インターフェイスには、ACLを適用できます。
- 1つのレイヤ2インターフェイスに適用できるMACアクセス リストは1つだけです。すでにMAC ACLが設定されているレイヤ2インターフェイスにMAC ACLを適用すると、新しいACLが前に設定したACLに置き換わります。
レイヤ2インターフェイスへのアクセスを制御するためMACアクセスリストを適用するには、イネーブルEXECモードで次の手順を実行します。
|
MACアクセスリストを使用し、指定されたインターフェイスへのアクセスを制御します。
|
||
指定されたアクセス グループを削除するには、 no mac access-group { name } in インターフェイス コンフィギュレーション コマンドを使用します。
次に、GigabitEthernet 0/3インターフェイスにアクセス リスト2を適用し、インターフェイスに入るパケットをフィルタリングする例を示します。
Switch(config)# interface gigabitethernet0/3
Router(config-if)# mac access-group mac1 in
着信ACLの場合、スイッチは受信したパケットをACLと照合します。ACLによってパケットが許可された場合は、パケットの処理が続行されます。拒否された場合、パケットは廃棄されます。
未定義のACLをインターフェイスに適用すると、スイッチはACLがインターフェイスに適用されていないと判断して処理を行い、すべてのパケットが許可されてしまいます。ネットワーク セキュリティのため、未定義のACLを使用する場合は注意してください。
VLANマップの設定
ここでは、VLANマップを設定する方法について説明します。この方法は、VLAN内でフィルタリングを制御する唯一の方法です。VLANマップには方向がありません。VLANマップを使用して、特定方向のトラフィックをフィルタリングするには、特定の送信元または宛先アドレスが指定されたACLを追加する必要があります。VLANマップ内に該当タイプのパケット(IPまたはMAC)に対するmatchコマンド文が存在する場合、デフォルトではマップ内のどのエントリにも一致しないパケットが廃棄されます。該当タイプのパケットに対するmatchコマンド文が存在しない場合、デフォルトではパケットが転送されます。
VLANマップを作成して1つまたは複数のVLANに適用するには、次の手順を実行します。
ステップ 2 VLAN ACLマップ エントリを作成するには、 vlan access-map グローバル コンフィギュレーション コマンドを入力します。
ステップ 3 アクセスマップ コンフィギュレーション モードでは、 action として forward (デフォルト)または drop を任意で入力できます。また、 match コマンドを入力し、既知のMACアドレスのみが格納されたIPパケットまたは非IPパケットを指定したり、1つまたは複数のACL(標準または拡張)とパケットを照合したりすることもできます。
ステップ 4 VLANマップを1つまたは複数のVLANに適用するには、 vlan filter グローバル コンフィギュレーション コマンドを使用します。
VLANマップ設定時の注意事項
VLANマップの設定を行うときは、次の注意事項に従ってください。
- ルーテッドVLANインターフェイス(入力または出力)でトラフィックを拒否するように設定されたルータACLが存在せず、VLANマップが設定されて いない 場合は、すべてのトラフィックが許可されます。
- 各VLANマップは一連のエントリで構成されます。VLANマップのエントリの順序は重要です。スイッチに着信したパケットは、VLANマップの最初のエントリに対して比較検査されます。一致した場合は、VLANマップで指定されたアクションが行われます。一致しなかった場合、パケットはマップ内の次のエントリに対して比較検査されます。
- 該当タイプのパケット(IPまたはMAC)に対するmatchコマンド文がVLANマップに1つまたは複数存在する場合でも、パケットがそれらのmatchコマンド文に一致しない場合は、デフォルトでパケットが廃棄されます。該当タイプのパケットに対するmatchコマンド文がVLANマップ内に存在しない場合、デフォルトではパケットが転送されます。
- 多数のACLが設定されている場合は、システムの起動に時間がかかることがあります。
- ルータACLおよびVLANマップを組み合わせて使用する方法については、 ルータACLとVLANマップを使用する場合の注意事項 を参照してください。
- 設定例については、 ネットワークでのVLANマップの使用法 を参照してください。
- スイッチのレイヤ2インターフェイスにIPアクセス リストまたはMACアクセス リストが適用されている場合、VLANマップを作成することはできますが、スイッチのVLANにVLANマップを適用することはできません。適用しようとすると、エラー メッセージが生成されます。
VLANマップの作成
各VLANマップは順番に並べられた一連のエントリで構成されます。VLANマップ エントリを作成、追加、削除するには、イネーブルEXECモードで次の手順を実行します。
マップを削除するには、 no vlan access-map name グローバル コンフィギュレーション コマンドを使用します。
マップ内の単一のシーケンス エントリを削除するには、 no vlan access-map name number グローバル コンフィギュレーション コマンドを使用します。
デフォルトのアクションである転送を行うには、 no action アクセスマップ コンフィギュレーション コマンドを使用します。
VLANマップでは、特定のpermitまたはdenyキーワードは使用されません。VLANマップを使用してパケットを拒否するには、パケットと比較するACLを作成し、アクションを廃棄に設定します。ACLにpermitキーワードを指定した場合は一致とみなされます。ACLにdenyキーワードを指定した場合は一致しないとみなされます。
ACLおよびVLANマップの例
次に、特定の目的でACLおよびVLANマップを作成する例を示します。
例1
ここでは、パケットを拒否するACLおよびVLANマップを作成する例を示します。最初のマップでは、 ip1 ACL(TCPパケット)に一致するすべてのパケットが廃棄されます。最初に、すべてのTCPパケットを許可し、それ以外のパケットをすべて拒否する ip1 ACLを作成します。VLANマップにはIPパケットに対するmatchコマンド文が存在するため、デフォルトではどのmatchコマンド文とも一致しないすべてのIPパケットが廃棄されます。
Switch(config)# ip access-list extended ip1
Switch(config-ext-nacl)# permit tcp any any
Switch(config)# vlan access-map map_1 10
Switch(config-access-map)# match ip address ip1
Switch(config-access-map)# action drop
次に、パケットを許可するVLANマップを作成する例を示します。ACL ip2 はUDPパケットを許可します。 ip2 ACLと一致するすべてのパケットが転送されます。
Switch(config)# ip access-list extended ip2
Switch(config-ext-nacl)# permit udp any any
Switch(config)# vlan access-map map_1 20
Switch(config-access-map)# match ip address ip2
Switch(config-access-map)# action forward
このマップでは、これ以前のどのACLとも一致しなかったすべてのIPパケット(TCPでもUDPでもないパケット)が廃棄されます。
例2
次の例のVLANマップでは、デフォルトでIPパケットが廃棄され、MACパケットが転送されます。標準のACL 101と名前指定の拡張アクセス リスト igmp-match および tcp-match をこのマップと組み合わせて使用すると、次のようになります。
- すべてのUDPパケットが転送されます。
- すべてのIGMPパケットが廃棄されます。
- すべてのTCPパケットが転送されます。
- その他のすべてのIPパケットが廃棄されます。
- すべての非IPパケットが転送されます。
Switch(config)# access-list 101 permit udp any any
Switch(config)# ip access-list extended igmp-match
Switch(config-ext-nacl)# permit igmp any any
Switch(config)# ip access-list extended tcp-match
Switch(config-ext-nacl)# permit tcp any any
Switch(config)# vlan access-map drop-ip-default 10
Switch(config-access-map)# match ip address 101
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan access-map drop-ip-default 20
Switch(config-access-map)# match ip address igmp-match
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# vlan access-map drop-ip-default 30
Switch(config-access-map)# match ip address tcp-match
Switch(config-access-map)# action forward
例3
次の例のVLANマップでは、デフォルトでMACパケットが廃棄され、IPパケットが転送されます。MAC拡張アクセス リスト good-hosts および good-protocols とこのマップを組み合わせて使用すると、次のようになります。
- ホスト0000.0c00.0111および0000.0c00.0211からのMACパケットが転送されます。
- decnet-ipまたはvines-ipプロトコルを使用するMACパケットが転送されます。
- その他のすべての非IPパケットが廃棄されます。
- すべてのIPパケットが転送されます。
Switch(config)# mac access-list extended good-hosts
Switch(config-ext-macl)# permit host 000.0c00.0111 any
Switch(config-ext-macl)# permit host 000.0c00.0211 any
Switch(config)# mac access-list extended good-protocols
Switch(config-ext-macl)# permit any any decnet-ip
Switch(config-ext-macl)# permit any any vines-ip
Switch(config)# vlan access-map drop-mac-default 10
Switch(config-access-map)# match mac address good-hosts
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan access-map drop-mac-default 20
Switch(config-access-map)# match mac address good-protocols
Switch(config-access-map)# action forward
例4
次の例のVLANマップでは、デフォルトですべてのパケット(IPおよび非IP)が廃棄されます。例2および例3のアクセス リスト tcp-match および good-hosts をこのマップと組み合わせて使用すると、次のようになります。
- すべてのTCPパケットが転送されます。
- ホスト0000.0c00.0111および0000.0c00.0211からのMACパケットが転送されます。
- その他のすべてのIPパケットが廃棄されます。
- その他のすべてのMACパケットが廃棄されます。
Switch(config)# vlan access-map drop-all-default 10
Switch(config-access-map)# match ip address tcp-match
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan access-map drop-all-default 20
Switch(config-access-map)# match mac address good-hosts
Switch(config-access-map)# action forward
VLANへのVLANマップの適用
1つのVLANマップを1つまたは複数のVLANに適用するには、イネーブルEXECモードで次の手順を実行します。
|
VLANマップを1つまたは複数のVLAN IDに適用します。 listには単一のVLAN ID(22)、連続した範囲(10〜22)、またはVLAN IDからなるストリング(12、22、30)を指定できます。カンマやハイフンの前後にスペースを挿入することもできます。 |
||
VLANマップを削除するには、 no vlan filter mapname vlan-list list グローバル コンフィギュレーション コマンドを使用します。
次に、VLANマップ1をVLAN 20〜22に適用する例を示します。
Switch(config)# vlan filter map 1 vlan-list 20-22
ネットワークでのVLANマップの使用法
ここでは、VLANマップの一般的な使用法について説明します。具体的な内容は次のとおりです。
配線クローゼットの構成
配線クローゼット構成におけるスイッチでは、ルーティングがイネーブルでない可能性があります。ただし、この構成でもVLANマップおよびQoS分類ACLはサポートされています。 図28-4 では、ホストXおよびホストYは異なるVLAN内にあり、配線クローゼット スイッチAおよびスイッチCに接続されていると想定しています。ホストXからホストYへのトラフィックは、ルーティングがイネーブルに設定されたスイッチBによって最終的にルーティングされます。ホストXからホストYへのトラフィックは、トラフィックのエントリ ポイントであるスイッチAでアクセス制御できます。
図28-4 配線クローゼットの構成
HTTPトラフィックをホストXからホストYへスイッチングしない場合は、ホストX(IPアドレス10.1.1.32)からホストY(IPアドレス10.1.1.34)へのHTTPトラフィックがスイッチBにブリッジングされず、すべてスイッチAで廃棄されるようにスイッチAのVLANマップを設定できます。
まず、HTTPポートですべてのTCPトラフィックを許可(一致)するIPアクセス リスト http を定義します。
Switch(config)# ip access-list extended http
Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www
次に、 http アクセス リストと一致するトラフィックが廃棄され、その他のすべてのIPトラフィックが転送されるように、VLANアクセスマップ map2 を作成します。
Switch(config)# vlan access-map map2 10
Switch(config-access-map)# match ip address http
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# ip access-list extended match_all
Switch(config-ext-nacl)# permit ip any any
Switch(config)# vlan access-map map2 20
Switch(config-access-map)# match ip address match_all
Switch(config-access-map)# action forward
次に、VLANアクセスマップ map2 をVLAN 1に適用します。
Switch(config)# vlan filter map2 vlan 1
別のVLANにあるサーバへのアクセス拒否
別のVLANにあるサーバへのアクセスを制限できます。たとえば、VLAN 10内のサーバ10.1.1.100に対しては、次のようにアクセスを制限する必要があります( 図28-5 を参照)。
図28-5 別のVLANにあるサーバへのアクセス拒否
この例では、サブネット10.1.2.0/8内のホスト、ホスト10.1.1.4、およびホスト10.1.1.8のアクセスを拒否し、その他のIPトラフィックを許可するVLANマップSERVER1を作成して、別のVLAN内のサーバへのアクセスを拒否する方法を示しています。最後に、VLANマップSERVER1をVLAN 10に適用します。
Switch(config)# ip access-list extended SERVER1_ACL
Switch(config-ext-nacl))# permit ip 10.1.2.0 0.0.0.255 host 10.1.1.100
Switch(config-ext-nacl))# permit ip host 10.1.1.4 host 10.1.1.100
Switch(config-ext-nacl))# permit ip host 10.1.1.8 host 10.1.1.100
Switch(config-ext-nacl))# exit
ステップ 2 SERVER1_ACLと一致するIPパケットを廃棄し、一致しないIPパケットを転送するこのACLを使用して、VLANマップを定義します。
Switch(config)# vlan access-map SERVER1_MAP
Switch(config-access-map)# match ip address SERVER1_ACL
Switch(config-access-map)# action drop
Switch(config)# vlan access-map SERVER1_MAP 20
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan filter SERVER1_MAP vlan-list 10.
ルータACLをVLANマップと組み合わせて使用する方法
ブリッジングされたトラフィックおよびルーティングされたトラフィックの両方に対してアクセス制御を行うには、VLANマップを単独で使用するか、またはルータACLとVLANマップを組み合わせて使用します。入力と出力両方のルーテッドVLANインターフェイスでルータACLを定義したり、ブリッジングされたトラフィックのアクセスを制御するVLANマップを定義できます。
パケット フローがACL内VLANマップのdenyコマンド文と一致した場合、ルータACLの設定に関係なく、パケット フローは拒否されます。
該当タイプのパケット(IPまたはMAC)に対するmatchコマンド文がVLANマップに存在する場合でも、パケットがそのタイプに一致しない場合は、デフォルトでパケットが廃棄されます。VLANマップ内にmatchコマンド文がなく、アクションが指定されていない場合、どのVLANマップ エントリとも一致しないパケットは転送されます。
ここでは、ルータACLをVLANマップと組み合わせて使用する方法について説明します。
ルータACLとVLANマップを使用する場合の注意事項
ここに記載された注意事項は、ルータACL および VLANマップを同じVLAN上で使用する必要がある場合に適用されます。ルータACLおよびVLANマップを異なるVLANに割り当てる場合に、これらの注意事項は適用されません。
スイッチ ハードウェアは、方向(入力および出力)ごとにセキュリティACLを1回検索します。したがって、ルータACLおよびVLANマップを同じVLANに設定する場合は、これらを統合する必要があります。ルータACLとVLANマップを統合すると、ACEの数が急増することがあります。
ルータACLおよびVLANマップを同じVLANに設定する必要がある場合は、ルータACLとVLANマップの両方の設定に関する注意事項に従ってください。
permit...
permit...
permit...
deny ip any any
deny...
deny...
deny...
permit ip any any
- ACL内で複数のアクション(許可、拒否)を定義する場合は、それぞれのアクション タイプをまとめて、エントリ数を削減します。
- ACL内にレイヤ4情報を指定しないでください。レイヤ4情報を追加すると、統合プロセスが複雑になります。ACLのフィルタリングが、full flow(送信元IPアドレス、宛先IPアドレス、プロトコル、およびプロトコル ポート)でなく、IPアドレス(送信元および宛先)に基づいて行われる場合に、最適な統合結果が得られます。可能なかぎり、IPアドレスには無視( don’t care )ビットを使用してください。
レイヤ4情報を含むIP ACEとTCP/UDP/ICMP ACEが両方ともACL内に存在し、full flowモードを指定する必要があるときは、レイヤ4 ACEをリストの末尾に配置します。この結果、IPアドレスに基づくトラフィックのフィルタリングが優先されます。
VLANに適用されるルータACLとVLANマップの例
ここでは、ルータACLおよびVLANマップをVLANに適用し、スイッチド パケット、ブリッジド パケット、ルーテッド パケット、およびマルチキャスト パケットを処理する例を示します。次の図ではそれぞれの宛先に転送されるパケットを示します。パケットのパスがVLANマップやACLを示す回線と交差するポイントで、パケットを転送せずに廃棄することもできます。
ACLおよびスイッチド パケット
図28-6 に、VLAN内でスイッチングされるパケットにACLを適用する方法を示します。代替ブリッジングによってルーティングまたは転送されず、VLAN内でスイッチングされるパケットには、入力VLANのVLANマップのみが適用されます。
図28-6 スイッチド パケットへのACLの適用
ACLおよびブリッジド パケット
図28-7 に、代替ブリッジド パケットにACLを適用する方法を示します。ブリッジド パケットの場合は、入力VLANにレイヤ2 ACLのみが適用されます。また、非IPおよび非ARPパケットのみが代替ブリッジド パケットとなります。
図28-7 ブリッジド パケットへのACLの適用
ACLおよびルーテッド パケット
図28-8 に、ルーテッド パケットにACLを適用する方法を示します。ルーテッド パケットの場合、ACLは次の順番で適用されます。
図28-8 ルーテッド パケットへのACLの適用
ACLおよびマルチキャスト パケット
図28-9 に、IPマルチキャスト用に複製されたパケットにACLを適用する方法を示します。ルーティングされるマルチキャスト パケットには、2つの異なるフィルタが適用されます。1つは、宛先が入力VLAN内の他のポートである場合に使用され、もう1つは、宛先がパケットのルーティング先である別のVLAN内にある場合に使用されます。パケットは複数の出力VLANにルーティングされますが、この場合は宛先VLANごとに異なるルータ出力ACLおよびVLANマップが適用されます。
最終的に、パケットは一部の出力VLAN内で許可され、それ以外のVLANで拒否されます。パケットのコピーが、許可された宛先に転送されます。ただし、入力VLANマップ( 図28-9 のVLAN 10マップ)によってパケットが廃棄される場合、パケットのコピーは宛先に送信されません。
図28-9 マルチキャスト パケットへのACLの適用
ACL情報の表示
スイッチに設定されているACL、およびインターフェイスやVLANに適用されたACLを表示できます。また、設定の矛盾に関する情報やACLに関連したリソースの利用についての情報も表示できます。
ACLの設定の表示
既存のACLを表示できます。 ip access-group インターフェイス コンフィギュレーション コマンドを使用して、レイヤ2またはレイヤ 3インターフェイスにACLを適用した場合は、そのインターフェイスのアクセス グループを表示できます。レイヤ2インターフェイスに適用されたMAC ACLを表示することもできます。この情報を表示するには、イネーブルEXECコマンドを使用します( 表28-2 を参照)。
次に、 show access-lists イネーブルEXECコマンドを実行し、すべての標準ACLおよび拡張ACLを表示する例を示します。
permit eigrp host 12.3.6.5 host 25.36.1.24
次に、 show ip access-lists イネーブルEXECコマンドの出力例を示します。IP標準および拡張ACLのみが表示されます。前述の例で表示された名前指定のMAC拡張ACLは、この例で表示されません。
permit eigrp host 12.3.6.5 host 25.36.1.24
次に、 show mac access-group イネーブルEXECコマンドの出力例を示します。この出力で、MACアクセス リスト( macl-e1 )が適用されているインターフェイスはGigabitEthernetインターフェイス2だけであることがわかります。
Inbound access-list is not set
Inbound access-list is macl_e1
Inbound access-list is not set
Inbound access-list is not set
Inbound access-list is not set
VLANアクセスマップまたはVLANフィルタに関する情報を表示できます。VLANマップ情報を表示するには、 表28-3 に記載されたイネーブルEXECコマンドを使用します。
次は、 show vlan access-map イネーブルEXECコマンドの出力例です。
次に、 show vlan filter イネーブルEXECコマンドの出力例を示します。
VLAN Map map_1 is filtering VLANs:
ACLリソースの利用率および設定問題の表示
スイッチの機能マネージャは、設定されたACLにリソースを割り当てます。設定に必要なだけの十分なハードウェア リソースがない場合、または設定に問題がある場合は、エラー メッセージが生成されます。コンソールがエラー メッセージ受信用に設定されていない場合は、 show fm イネーブルEXECコマンドを使用して機能マネージャのメッセージを表示し、インターフェイスのACLを処理するリソースについての情報を入手できます。また、 show tcam イネーブルEXECコマンドを使用すると、スイッチのTernary CAM(TCAM)の容量に関するステータス情報を入手できます。
表28-4 に、ACL機能マネージャ情報を表示するイネーブルEXECコマンドを示します。
これらのコマンドの詳細については、このリリースのコマンド リファレンスを参照してください。
ここでは、次のACL問題に関する情報表示方法について説明します。
設定の矛盾
ルータACLがすでに設定されているスイッチのインターフェイスにポートACLを適用するなど、許可されていないACL設定を入力しようとすると、エラー メッセージがログに記録されます。
次の例では、Gigabitポート1はレイヤ2インターフェイスです。アクセス リスト ip3 を適用しようとすると、すでにスイッチのレイヤ3インターフェイスにACLが適用されていることを示すエラー メッセージが表示されます。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group ip3 in
1d18h:%FM-3-CONFLICT:Port ACL ip3 conflicts with input router ACLs
ACLの設定に矛盾があるかどうかを判断し、そのポートのポートラベル番号を調べるには、インターフェイスに対して show fm interface イネーブルEXECコマンドを実行します。さらに詳細情報を表示するには、次の例のように show fm port-label イネーブルEXECコマンドを入力します。
Switch# show fm interface gigabitethernet0/1
Conflicts exist with layer 3 access groups.
Conflicts exist with layer 3 access groups.
DHCP Broadcast Suppression Disabled.
MAC Access Group:(None) 0 VMRs
次の例は、レイヤ2インターフェイスにACLがすでに適用されているスイッチで、SVIであるVLAN 1にACL 121を適用しようとした結果を示しています。
Switch(config)# interface vlan 1
Switch(config-if)# ip access-group 121 in
1d18h:%FM-3-CONFLICT:Input router ACL 121 conflicts with port ACLs
show fm vlanイネーブルEXECコマンド を入力すると設定の矛盾が表示され、VLAN label-ids を判断できます。さらに詳細情報を表示するには、 show fm vlan-label コマンドを入力します。
Conflicts exist with layer 2 access groups.
Conflicts exist with layer 2 access groups.
Multicast Boundary:(none), 0 VMRs
ハードウェアでのACL設定の適合性
前述のように、Catalyst 3550スイッチでのACL処理は、大部分がハードウェアで処理されます。ただし、ACL設定を格納するためのハードウェア容量が限界に達した場合は、スイッチのソフトウェアによって、ハードウェア内の設定が単純になるように調整されます。設定が単純になると、設定されたフィルタリング処理の一部が実行されなくなり、一部またはすべてのパケットがCPUに送られて、ソフトウェアによりフィルタリングされます。この方法で、設定されたすべてのフィルタリング処理が実行されますが、ソフトウェアでフィルタリングが行われるとパフォーマンスが大幅に低下します。
たとえば、VLANインターフェイスに適用される入力ルータACLと、同じVLANに適用されるVLANマップの組み合わせがハードウェアに適合しない場合は、次のようになります。
- VLANマップのみがハードウェアに適合する場合、ソフトウェアはハードウェアに対して、ルーティングの必要があるすべてのパケットをCPUに送信し、そこでフィルタリングまたは(パケットがフィルタを通過した場合は)ルーティングが行われるように設定します。入力VLAN内でのブリッジングのみが必要なパケットは、すべてハードウェアで処理され、CPUには送信されません。
- VLANマップがハードウェアに適合しない場合は、VLANのすべてのパケットをソフトウェアでフィルタリングし、転送する必要があります。
ハードウェアに対する設定の適合性問題はすべてログに記録されます。 show fm イネーブルEXECコマンドを使用すると、ハードウェアに適合しないインターフェイスの設定またはVLANの設定があるかどうかを判別できます。
ポートACLの例
次に、使用可能なTCAMスペースに対してポート アクセス リストが大きすぎる例を示します。
Switch(config-if)# interface gigabitethernet0/3
Switch(config-if)# ip access-group 100 in
00:04:58:%FM-3-UNLOADING:Unloading port label 3 feature from TCAM 1
ポート ラベルを確認したり、ラベルがインターフェイスに割り当てられているかどうかを調べる場合は、 show fm interface コマンドを入力します。
Switch# show fm interface gigabitethernet0/3
次の例では、 show fm port-label 3 イネーブルEXECコマンドの出力から、CAM 1に必要なラベル3がCAM 1にロードされず、代わりにCPUに送信されていることがわかります。
DHCP Broadcast Suppression Disabled.
MAC Access Group:(None) 2 VMRs
スイッチのTCAMの数はスイッチ モデルによって異なります(1〜3)。TCAMを複数個装備しているスイッチで、同じポートACLが複数のインターフェイスに適用されている場合、必要なTCAMの一部(全部ではない)に設定が適合しないことがあります。このような場合、ACLが適用されたときに生成されたログ メッセージに、そのACLをロードできなかったTCAMが指定されます。
Switch(config)# interface gigabitethernet0/10
Switch(config-if)# ip access-group 101 in
01:46:25:%FM-3-UNLOADING:Unloading port label 4 feature from TCAM 1
ラベル4に対して show fm port-label コマンドを入力すると、各TCAMに機能がロードされているかどうかがわかります。
DHCP Broadcast Suppression Disabled.
MAC Access Group:(None) 2 VMRs
この出力は、CAM 1と3でポート ラベル4が必要とされているのに、CAM 1にポート ラベル4が適合していないことを示しています。CAM 1に他のポート ラベルのエントリがすでに含まれCAM 3よりも使用可能な空き容量が少ないためです。また、この出力から、CAM 3にはポート ラベル4がロードされているものの、このラベルのポートACLのエントリがCAM 1からアンロードされているため、CAM 1はこのラベルのパケットをCPUに送信していることがわかります。
VLANまたはルータACLの例
次に、VLAN 1の機能マネージャ情報を表示する例を示します。
次に、 show fm vlan-label イネーブルEXECコマンドの出力例を示します。入力アクセス グループでマージに失敗したことがわかります。
Unloaded due to merge failure or lack of space:
Multicast Boundary:(none), 0 VMRs
次に、 show fm vlan-label イネーブルEXECコマンドの出力例を示します。入力アクセス グループに使用できる十分な空き容量がハードウェアにないことがわかります。
Unloaded due to merge failure or lack of space:
Multicast Boundary:(none), 0 VMRs
次に、 show fm vlan-label イネーブルEXECコマンドの例を示します。この出力から、このラベルの入力アクセス グループまたは出力アクセス グループに対して十分な空き容量がないことがわかります(アクセス グループは2つの異なるインターフェイスに設定されています。ラベルは入力および出力に関して個別に割り当てられます)。
Unloaded due to merge failure or lack of space:
InputAccessGroup OutputAccessGroup
Multicast Boundary:(none), 0 VMRs
TCAMの利用率
show tcam イネーブルEXECコマンドを使用すると、ACLを設定する前後にTCAMの空き容量を表示したり、特定のインターフェイスまたはVLANに割り当てられているTCAM内の容量を調べることができます。
TCAM内でACLが入力されている領域の合計サイズを表示するには、 show tcam size を使用します。
Switch# show tcam inacl 1 size
Ingress ACL TCAM Size:6592 Entries
さまざまなTCAM領域に割り当てる容量を変更する場合は、 sdm prefer グローバル コンフィギュレーション コマンドを使用します。このコマンドを使用して、ACL、ルーティング、またはレイヤ2スイッチングに割り当てるリソースを増やすことができます。
入力または出力のTCAM領域に対して show tcam statistics コマンドを入力すると、マスクおよびエントリの割り当て量と使用可能量が表示されるため、そのTCAM領域がどの程度利用されているかがわかります。次に示すのは、このコマンドの出力例です。
Switch# show tcam inacl 1 statistics
Ingress ACL TCAM#1:Number of active labels:3
Ingress ACL TCAM#1:Number of masks allocated: 14, available: 810
Ingress ACL TCAM#1:Number of entries allocated: 17, available:6575
インターフェイスまたはVLANへのACLの設定に使用できるTCAMの量を判断するには、まず show fm interface コマンドまたは show fm vlan コマンドを使用します。これらのコマンドの出力から、そのポートまたはVLANのACL設定に使用されるポート ラベルまたはVLANラベルを判別できます。さらに、 show tcam port-label コマンドまたは show tcam vlan-label コマンドを使用すると、そのラベルに割り当てられているTCAMの容量が表示されます。VLANラベルはルータACLとVLANマップに、ポート ラベルはポートACLに使用されます。
Switch# show tcam inacl 1 vlan-labels 1
Label Value : 8193(vlan label 1)
F7 00 00 00 00 00 00 00 00 80 FF C0 00 C0 FF FF 00 00
96 00 00 00 00 00 00 00 00 80 01 40 00 80 00 01 00 00 As Data(hex) :00260086
F7 00 00 00 00 00 00 00 00 80 FF C0 00 C0 00 00 FF FF
96 00 00 00 00 00 00 00 00 80 01 40 00 80 00 00 00 B3 As Data(hex) :00260086
F5 00 00 00 00 E0 00 00 00 80 FF C0 00 C0 00 00 00 00
94 00 00 00 00 E0 00 00 00 80 01 40 00 80 00 00 00 00 As Data(hex) :00210086
F7 00 00 00 00 00 00 00 00 80 FF C0 00 C0 00 00 00 00
96 00 00 00 00 00 00 00 00 80 01 40 00 80 00 00 00 00 As Data(hex) :00210086
F5 00 00 00 00 00 00 00 00 80 FF C0 00 C0 00 00 00 00
