ML-Series における ACL サポート
コントロール プレーン ACL とデータ プレーン ACL は、どちらも次の ML-Series カードでサポートされます。
• コントロール プレーン ACL:ML-Series カードの CPU によって処理されるコントロール データをフィルタするための ACL(たとえば、ルーティング情報の配布、Internet Group Membership Protocol(IGMP; インターネット グループ管理プロトコル)加入など)。
• データ プレーン ACL:ハードウェア内の ML Series を使用してルーティングまたはブリッジされているユーザ データをフィルタするための ACL(たとえば、ホストへのアクセスの拒否など)。データ プレーン ACL は、ip access-group コマンドを使用して入力方向または出力方向のインターフェイスに適用されます。
データ プレーン ACL を ML-Series カード上で使用する際には、次の制限があります。
• ACL は、ブリッジされているインターフェイスを含む、あらゆる種類のインターフェイスでサポートされます。
• 再帰的 ACL とダイナミック ACL は、ML-Series カードではサポートされません。
• アクセス違反のアカウンティングは、ML-Series カードではサポートされません。
• ACL のロギングは、交換されたパケットではなく、CPU に送信するパケットに対してのみサポートされます。
• ブリッジされた出力インターフェイスに適用された IP 標準 ACL は、データ プレーンではサポートされません。ブリッジの場合は、ACL は入力側でのみサポートされます。
IP ACL
IP では、次のような ACL スタイルがサポートされています。
• 標準 IP ACL:ソース アドレスを使用してマッチングを行います。
• 拡張 IP ACL(コントロール プレーン専用):宛先アドレスを使用してマッチングを行います。さらに細かく制御するためには、オプションとしてプロトコル タイプとポート番号を使用します。
• 名前付き ACL:ソース アドレスを使用してマッチングを行います。
(注) デフォルトでは、ACL の末尾には、そこに到達する前に一致するものが見つからなかった場合のための暗黙的な拒否文があります。標準 ACL では、関連付けられた IP ホスト アドレス ACL 仕様からマスクが削除されていると、マスクが 0.0.0.0 であるとみなされます。
ACL を作成したら、その ACL をインターフェイスに適用する必要があります。「ACL のインターフェイスへの適用」を参照してください。
名前付き IP ACL
IP ACL は名前で特定できます。ただし、名前は英数字の文字列である必要があります。名前付き IP ACL を使用すると、番号付き ACL の場合よりも多くの IP ACL を単一ルータに構成できます。数値の文字列ではなく英字の文字列で ACL を特定する場合は、モードとコマンドの構文が多少異なります。
次の事項を検討してから名前付き ACL を構成してください。
• 標準 ACL と拡張 ACL に同じ名前を付けることができません。
• 番号付き ACL も利用できます。「番号付き標準および拡張 IP ACL の作成」を参照してください。
ユーザ ガイドライン
IP ネットワークのアクセス制御を設定するときは、次のことに留意してください。
• Ternary Content Addressable Memory(TCAM)内に ACL エントリをプログラムできます。
• ACL の末尾には、すべてを拒否する文が暗黙的に指定されているため、入力する必要がありません。
• ACL エントリはどのような順序で入力しても、パフォーマンスに影響しません。
• 8 個の TCAM エントリごとに、ML-Series カードは TCAM の管理用のエントリを 1個使用します。
• パケット損失を引き起こす条件を設定しないでください。パケット損失は、パケットを拒否する ACL が設定されたサービスがネットワーク上でアドバタイズするように、装置またはインターフェイスが設定されている場合に発生します。
• IP ACLは、ダブルタグ (QinQ) パケットに対してサポートされていません。ただし、IP ACL は QinQ アクセス ポートに着信する IP パケットに対して適用されます。
番号付き標準および拡張 IP ACL の作成
表 15-1 には、番号付き標準 IP ACL と拡張 IP ACL の作成に使用するグローバル設定コマンドを示します。
表 15-1 番号付き標準および拡張 IP ACL のコマンド
|
|
Router(config)#
access-list
access-list-number
{
deny |
permit }
source [
source-wildcard ]
|
ソース アドレスとワイルドカードを使用して標準 IP ACL を定義します。 |
Router(config)#
access-list access-list-number {
deny |
permit }
any
|
0.0.0.0 255.255.255.255 というソースとソース マスクの省略形を使用して標準 IP ACL を定義します。 |
Router(config)#
access-list
access-list-number {
deny |
permit }
protocol source source-wildcard destination destination-wildcard [
precedence
precedence ] [
tos
tos ]
|
拡張 IP ACL 番号とアクセス条件を定義します。 |
Router(config)#
access-list
access-list-number {
deny |
permit }
protocol
any any
|
0.0.0.0 255.255.255.255 というソースとソース ワイルドカードの省略形 と、0.0.0.0 255.255.255.255 という宛先と宛先ワイルドカードの省略形 を使用して、拡張 IP ACL を定義します。 |
Router(config)#
access-list
access-list-number {
deny |
permit }
protocol
host
source
host
destination
|
source 0.0.0.0 というソースとソース ワイルドカードの省略形と、destination 0.0.0.0 という宛先と宛先ワイルドカードの省略形 を使用して、拡張 IP ACL を定義します。 |
名前付き標準 IP ACL の作成
名前付き標準 IP ACL を作成するには、グローバル設定モードで次の手順を実行します。
|
|
|
ステップ 1 |
Router(config)#
ip access-list standard
name
|
英字の名前を使用して標準 IP ACL を定義します。 |
ステップ 2 |
Router(config-std-nac1)#
deny {
source [
source-wildcard ] |
any }
または
permit {
source [
source-wildcard ] |
any }
|
アクセス リスト設定モードで、許可または拒否する条件を 1 つ以上指定します。これによって、パケットをパスするか、ドロップするかが決定します。 |
ステップ 3 |
|
アクセス リスト設定モードを終了します。 |
名前付き拡張 IP ACL の作成(コントロール プレーン専用)
名前付き拡張 IP ACL を作成するには、グローバル設定モードで次の手順を実行します。
|
|
|
ステップ 1 |
Router(config)#
ip access-list
extended name
|
英字の名前を使用して拡張 IP ACL を定義します。 |
ステップ 2 |
Router(config-ext-nacl)# {
deny |
permit }
protocol source source-wildcard destination destination-wildcard [
precedence
precedence ] [
tos
tos ]
{
deny |
permit }
protocol
any any
{
deny |
permit }
protocol
host
source
host
destination
|
アクセス リスト設定モードで、許可または拒否する条件を指定します。 または 0.0.0.0 255.255.255.255 というソースとソース ワイルドカードの省略形と、0.0.0.0 255.255.255.255 という宛先と宛先ワイルドカードの省略形 を使用して、拡張 IP ACL を定義します。 または source 0.0.0.0 というソースとソース ワイルドカードの省略形と、 destination 0.0.0.0 という宛先と宛先ワイルドカードの省略形を使用して、拡張 IP ACL を定義します。 |
ACL のインターフェイスへの適用
ACL を作成したら、その ACL を 1 つ以上のインターフェイスに適用できます。ACL を適用できるのは、インターフェイスの着信方向または送信方向のどちらか一方です。インターフェイスへのアクセスを制御するには、名前または番号を使用します。標準 ACL を適用した場合、ML-Series カードはソース IP アドレスを ACL と比較します。ACL を 1 つ以上のインターフェイスに適用するには、 表 15-2 に示すコマンドを使用します。
(注) Bridge Group Virtual Interface(BVI; ブリッジ グループ仮想インターフェイス)の入力側に適用されている IP 標準 ACL は、BVI 入力トラフィックだけでなく、関連付けられたブリッジ グループ内のブリッジされたすべての IP トラフィックに適用されます。
表 15-2 ACL のインターフェイスへの適用
|
|
ip access-group {
access-list-number | name} {
in |
out }
|
インターフェイスへのアクセスを制御します。 |