サポートされる ACL 機能
Catalyst Switch Module 3110 または 3012 の IPv6 ACL には、次の特性があります。
•
分割フレーム(IPv4 では fragments キーワード)がサポートされます。
•
IPv6 ACL では、IPv4 と同じ統計情報がサポートされます。
•
スイッチのハードウェア メモリが不足している場合、ACL に対応付けられたパケットは CPU に転送され、ACL はソフトウェアで適用されます。
Catalyst Switch Module 3110 の IPv6 ACL には、次の特性があります。
•
次の IPv6 ACL がサポートされています。
–
IPv6 ルータ ACL は、ルーテッド ポート、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)、またはレイヤ 3 EtherChannel に設定できるレイヤ 3 インターフェイスの発信トラフィックまたは着信トラフィックでサポートされます。IPv6 ルータ ACL は、ルーティングされる IPv6 パケットに対してだけ適用されます。
–
IPv6 ポート ACL は、レイヤ 2 インターフェイスの着信トラフィックだけでサポートされます。IPv6 ポート ACL は、インターフェイスに着信するすべての IPv6 パケットに対して適用されます。
•
IP ベース フィーチャ セットを実行しているスイッチは、入力ルータ IPv6 ACL だけをサポートしています。ポート ACL や出力 IPv6 ルータ ACL をサポートしません。
(注) 未サポートの IPv6 ACL を設定すると、エラー メッセージが表示されて設定が有効になりません。
•
出力ルータ ACL または入力ポート ACL を、IP ベース フィーチャ セットまたは IP サービス フィーチャ セットを実行しているスイッチ上で作成または適用すると、ACL はスイッチ コンフィギュレーションに追加されますが、有効にならず、エラー メッセージが表示されます。出力ルータ ACL または入力ポート ACL を使用する必要がある場合は、スイッチ コンフィギュレーションを保存し、ACL をサポートしている IP サービス フィーチャ セットをイネーブルにします。
•
スイッチは、IPv6 トラフィックの VLAN ACL(VLAN マップ)をサポートしません。
(注) スイッチの ACL サポートの詳細については、第 35 章「ACL によるネットワーク セキュリティの設定」を参照してください。
•
1 つのインターフェイスに、IPv4 ACL および IPv6 ACL の両方を適用できます。
•
IPv4 ACL の場合と同様に、IPv6 ポート ACL はルータ ACL よりも優先されます。
–
SVI に入力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに着信したパケットはポート ACL によってフィルタリングされます。その他のポートに着信したルーテッド IP パケットは、ルータ ACL によってフィルタリングされます。他のパケットはフィルタリングされません。
–
SVI に出力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに着信したパケットはポート ACL によってフィルタリングされます。発信ルーテッド IPv6 パケットは、ルータ ACL によってフィルタリングされます。他のパケットはフィルタリングされません。
(注) いずれかのポート ACL(IPv4、IPv6、または MAC)がインターフェイスに適用された場合、そのポート ACL を使用してパケットをフィルタリングし、ポート VLAN の SVI に適用されたルータ ACL は無視されます。
•
ホップバイホップ オプションがあるルーテッド パケットまたはブリッジド パケットには、ソフトウェアで適用される IPv6 ACL が設定されます。
•
ロギングは、ルータ ACL ではサポートされますが、ポート ACL ではサポートされません。
•
すべてのプレフィクス長に対し、IPv6 アドレス照合がサポートされます。
Catalyst Switch Module 3012 の IPv6 ACL には、次の特性があります。
•
レイヤ 3 インターフェイスで受信するすべての IPv6 管理パケットに適用される、入力ルータ IPv6 ACL だけがサポートされます。
•
IPv6 トラフィックに対する IPv6 ポート ACL、出力 IPv6 ルータ ACL、VLAN ACL(VLAN マップ)はサポートされません。
IPv6 ACL の制限事項
IPv4 では、番号付きの標準 IP ACL および拡張 IP ACL、名前付き IP ACL、および MAC ACL を設定できます。IPv6 がサポートするのは名前付き ACL だけです。
Cisco IOS でサポートされる IPv6 ACL の大部分がサポートされますが、次の例外があります。
•
IPv6 送信元および宛先アドレス:ACL 照合は、Extended Unique Identifier(EUI)-64 形式の/0 ~/64 のプレフィクスおよびホスト アドレス(/128)だけでサポートされます。Catalyst Switch Module 3012 は、次のホスト アドレスだけをサポートします。
–
集約可能なグローバル ユニキャスト アドレス
–
リンク ローカル アドレス
•
キーワード flowlabel 、 routing header 、 undetermined-transport に対する照合はサポートされません。
•
再起 ACL( reflect キーワード)はサポートされません。
•
IPv6 フレームには MAC ベース ACL が適用されません。
•
レイヤ 2 EtherChannel に IPv6 ポート ACL を適用できません。
•
IPv6 の出力ルータ ACL および入力ポート ACL は、Catalyst Switch Module 3110 が IP サービス フィーチャ セットを実行している場合にだけサポートされます。IP ベース フィーチャ セットを実行しているスイッチでは、IPv6 管理トラフィックに対する入力ルータ ACL だけがサポートされます。
•
ACL を設定する場合、ACL に入力されるキーワードには、それがプラットフォームでサポートされるかどうかにかかわらず、制限事項はありません。ハードウェア転送が必要なインターフェイス(物理ポートまたは SVI)に ACL を適用する場合、スイッチはインターフェイスで ACL がサポートされるかどうか判別します。サポートされない場合、ACL の付加は拒否されます。
•
インターフェイスに ACL が適用されており、サポートされないキーワードを持つ Access Control Entry(ACE; アクセス コントロール エントリ)を追加しようとした場合、スイッチは ACL への ACE の追加を拒否します。