300シリーズマネージドスイッチのIPv6ベースACLおよびACE

Updated: 2017 年 8 月 18 日
Document ID:SMB69

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

300シリーズマネージドスイッチのIPv6ベースACLおよびACE

目的

この記事では、300シリーズマネージドスイッチでIPv6ベースのACLとACEを作成する方法について説明します。アクセスリストに設定されたIPアドレスへのパケットのエントリを許可または拒否できます。ACLのルールは、アクセスコントロールエントリ(ACE)によって与えられます。

該当するデバイス

  • 300 シリーズ マネージド スイッチ

IPv6ベースのACLおよびACEの設定

IPv6ベースACL

ステップ1:設定ユーティリティを使用して、[Access Control] > [IPv6-Based ACL]を選択します。[IPv6-Based ACL]ページが開きます。このページには、現在定義されているACLのリストが表示されます。

ステップ2:[Add]をクリック、新しいアクセスリストを追加します。

ステップ3:[ACL Name]フィールドにアクセスリストの名前を入力します。

ステップ4:[Apply] をクリックすると、IPv6ベースのACLが実行コンフィギュレーションファイルに書き込まれます。

IPv6ベースのACE設定

アクセスコントロールエントリ(ACE)をACLに追加するには、次の手順を実行します。

ステップ1:設定ユーティリティを使用して、[Access Control] > [IPv6-Based ACE]を選択します。[IPv6-Based ACE]ページが開きます。  

ステップ2:[ACL Name equals]ドロップダウンリストからACLを選択し、[Add]をクリックします。[Add IPv6-based ACE]ウィンドウが表示されます。 

ステップ3:[Priority]フィールドにACEのプライオリティを入力します。最も高い優先度が最初に処理されます。1から2147483647の範囲です。

ステップ4:[Action(アクション)]フィールドで、パケットが一致した場合に発生する必要なアクションに対応するオプションボタンをクリックします。

  • Permit:ACEの基準に一致するパケットを許可します。
  • Deny:ACE基準を満たすパケットをドロップします。
  • Shutdown:ACE基準を満たすパケットをドロップし、パケットの受信元のポートをディセーブルにします。このようなポートは、ポート設定ページから再アクティブ化できます。

ステップ 5:  ルータを通過するパケットをフィルタリングするために、すべてのルーテッドネットワークプロトコルに設定されているACEの目的のプロトコルに対応するオプションボタンをクリックします。

  • Any:IPv6ベースのACEプロトコルのいずれかを選択します。 
  • [Select from list]:ドロップダウンリストからプロトコル(TCP、UDP、ICMP)を選択します。
  • Protocol ID to match:プロトコルとIDを照合するために使用されます。TCPなどのプロトコルのデフォルト値は6、UDPは17、ICMPの場合は58、またはユーザは任意の値を定義できます。

 

ステップ6:すべての送信元アドレスが受け入れ可能な場合は[Any]を、プレフィックス長を持つ送信元IPアドレス値を[Source IP Address]フィールドに入力する必要がある場合は[User Define]をクリックします。

ステップ7:[Destination IP Address]フィールドに宛先IPアドレスの値を入力する必要がある場合は、[Any] をクリックします。宛先アドレスがすべて受け入れ可能な場合は、[User Defined] をクリックします。

ステップ 8:  ステップ5でプロトコルTCPとUDPを選択した場合のみ、送信元ポートが有効になります。すべての送信元ポートが受け入れ可能な場合は、Anyをクリックして、0 ~ 65535または送信元ポートの範囲をを入力します。

ステップ9:宛先ポートは、ステップ5からプロトコルTCPとUDPを選択した場合のみ有効になります。すべての送信元ポートが受け入れ可能な場合は、[Any]をクリックしますか、または[Range of Destination Port]を入力します。

ステップ10:TCPフラグは、ステップ5からプロトコルTCPを選択した場合にのみ有効になります。異なるオプションを持つフラグを1またはオンに設定する、Unset as 0またはoffまたはDon't care x.

  • Urg:このフラグは、着信データをUrgentとして識別するために使用されます。
  • Ack:このフラグは、パケットの正常な受信を確認するために使用されます。
  • Psh:このフラグは、データに優先順位が与えられ(値する)、送信側または受信側で処理されることを保証するために使用されます。
  • Rst:このフラグは、現在の接続を意図していないセグメントが到着したときに使用されます。
  • Syn:このフラグはTCP通信に使用されます。
  • Fin:このフラグは、通信またはデータ転送が終了したときに使用されます。

ステップ11:[Type of Service(サービスのタイプ)]フィールドで、トラフィック輻輳制御に必要なサービスタイプに対応するオプションボタンをクリックします。

  • Any:トラフィックの輻輳に使用される任意のタイプのサービス。
  • DSCP to match:DiffServコードポイント(DSCP)は、ネットワークトラフィックを分類および管理するためのメカニズムです。6ビット(0 ~ 63)を使用して、各ノードでパケットが受けるホップ単位の動作を選択します。
  • IP Precedence to match:IPv6パケットの優先順位タイプを設定します。IP Preference値を持つキーワードは、ルーチンでは0、プライオリティでは1、即時では2、フラッシュでは3、フラッシュオーバーライドでは4、クリティカルでは5、インターネットでは6、ネットワークでは7です。

ステップ12:ICMPは、ステップ11でプロトコルICMPを選択した場合にのみ有効になります。サービスが利用できないか、ホストまたはルータに到達できない場合にエラーメッセージを送信するために使用されます。リレークエリーメッセージにも使用されます。

  • [任意(Any)]:エラーメッセージまたはクエリーメッセージのいずれかになります。
  • [Select from list]:許可された制御メッセージのドロップダウンリストが次のように表示されます

- Destination Unreachable:何らかの理由で宛先が到達不能であることをクライアントに通知するために、ホストまたはそのゲートウェイによって生成されます(NetworkまたはHost unreachableエラーなど)。

- Packet Too Big:データグラムのサイズが指定されたMTUを超えています。

- Time Exceeded:存続可能時間(TTL)フィールドがゼロに達したために廃棄されたデータグラムを送信元に通知するために、ゲートウェイによって生成されます。

– パラメータの問題:別のICMPメッセージで特にカバーされていないエラーに対する応答として生成されます。

- Echo Request:これはpingであり、このpingのデータはエコー応答で受信されると想定されます。

- Echo Reply:エコー要求に応答して生成されます。

- MLDクエリー:接続されたリンク上でリスナーを持つマルチキャストアドレスを学習するために使用されます。10進数で130と入力します。

- MLDレポート:メッセージ送信者がリッスンしているIPv6マルチキャストアドレスが生成されます

- MLD V2レポート:バージョン2のMLDレポートと同じです。

- MLD完了:ホストがグループを離れると、ネットワーク上のマルチキャストルータにマルチキャストリスナー完了メッセージを送信します

- Router Solicitation:ルータ検出メッセージです。ホストは、アドバタイズメントをリッスンするだけで、ネイバールータのアドレスを検出します。マルチキャストの場合はデフォルト= 224.0.0.2、それ以外の場合は255.255.255.255。

- Router Advertisement:ルータは、各マルチキャストインターフェイスからルータアドバタイズメントを定期的にマルチキャストし、そのインターフェイスのIPアドレスを通知します。

- ND NS:メッセージはノードによって発信され、別のノードのリンク層アドレスを要求します。また、重複アドレス検出やネイバーの到達不能検出などの機能にも使用されます

- ND NA:メッセージはNSメッセージに応答して送信されます。ノードがリンク層アドレスを変更すると、未承諾のNAを送信して新しいアドレスをアドバタイズできます

ステップ13:ICMPコードは、ステップ11からプロトコルICMPを選択した場合にのみ有効になります。このコードは、制御メッセージのより具体的な情報を値で提供するために使用されます。

  • [ICMP type to match]:ICMP制御メッセージに一致させるには、0 ~ 255の範囲を入力する必要があります。
  • Any:制御メッセージに一致する任意の値を指定できます。
  • [User Defined]:この値は、制御メッセージと一致させるために0 ~ 255の範囲で定義されます。

ステップ 14:[Apply]をクリックします。これにより、IPv6ベースのACEが実行コンフィギュレーションファイルに書き込まれます。

更新履歴

改定 発行日 コメント
1.0
10-Dec-2018
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ