- はじめに
- 概要
- CLI の使用方法
- スイッチの IP アドレスおよびデフォルト ゲートウェイの割り当て
- Cisco IOS Configuration Engine の設定
- スイッチの管理
- スイッチ ベース認証の設定
- スイッチ スタックの管理
- SDM テンプレートの設定
- IEEE 802.1x ポートベース認証の設定
- Web ベース認証の設定
- インターフェイス特性の設定
- SmartPort マクロの設定
- VLAN の設定
- VTP の設定
- 音声 VLAN の設定
- プライベート VLAN の設定
- IEEE 802.1Q およびレイヤ 2 プロトコル トンネリングの設定
- STP の設定
- MSTP の設定
- オプションのスパニング ツリー機能の設定
- Flex Link および MAC アドレス テーブル 移動更新機能の設定
- Dynamic Host Configuration Protocol (DHCP)機能および IP ソース ガードの設定
- ダイナミック ARP インスペクションの設定
- IGMP スヌーピングおよび MVR の設定
- IPv6 MLD スヌーピングの設定
- ポートベースのトラフィック制御の設定
- CDP の設定
- Link Layer Discovery Protocol(LLDP)、 LLDP Media Endpoint Discovery (LLDP-MED)、およびワイヤード ロケー ション サービスの設定
- UDLD の設定
- SPAN および RSPAN の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- 組み込みイベント マネージャ(EEM)の設定
- ACL によるネットワーク セキュリティの設定
- IPv6 ACL の設定
- QoS の設定
- EtherChannel およびリンクステート トラッキングの設定
- IP ユニキャスト ルーティングの設定
- IPv6 ホスト機能と ユニキャスト ルーティング の設定
- HSRP の設定
- Cisco IOS IP SLA 動作の設定
- HSRP および拡張オブジェクト トラッキング の設定
- WCCP を使用したキャッシュ サービスの設定
- IP マルチキャスト ルーティングの設定
- MSDP の設定
- フォールバック ブリッジングの設定
- トラブルシューティング
- オンライン診断の設定
- サポート対象 MIB
- Cisco IOS File System、コンフィギュ レーション ファイル、およびソフトウェア イメージの操作
- Cisco IOS Release 12.2(55)SE でサポート されていないコマンド
- 索引
Cisco Catalyst Switch Module 3110 and 3012 for IBM BladeCenter ソフトウェア コンフィギュレー ション ガイド
- Updated:
- 2017年6月5日
章のタイトル: IPv6 ACL の設定
IPv6 ACL の設定
IP Version 6(IPv6)Access Control List(ACL; アクセス コントロール リスト)を作成し、それをインターフェイスに適用することによって、IPv6 トラフィックをフィルタリングできます。これは、IP Version 4(IPv4)の名前付き ACL を作成し、適用する方法と同じです。また、スイッチが IP サービスまたは IP ベース フィーチャ セットを実行している場合に、レイヤ 3 管理トラフィックをフィルタリングするために、入力ルータ ACL を作成し、適用することもできます。この章では、スイッチに IPv6 ACL を設定する方法について説明します。特に記述がない限り、 スイッチ という用語はスタンドアロン スイッチとスイッチ スタックを意味しています。
IPv6 を使用するには、デュアル IPv4 および IPv6 Switch Database Management(SDM; スイッチ データベース管理)テンプレートがスイッチに設定されている必要があります。テンプレートの選択は、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドで行います。
•
SDM テンプレートの詳細については、 第 8 章「SDM テンプレートの設定」 を参照してください。
• スイッチ上の IPv6 については、 第 40 章「IPv6 ホスト機能とユニキャスト ルーティングの設定」 を参照してください。
• スイッチ上の ACL については、 第 35 章「ACL によるネットワーク セキュリティの設定」 を参照してください。
(注) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスまたは手順に記載された Cisco IOS のマニュアルを参照してください。
サポートされる IPv6 ACL
表 36-1 に、各スイッチでサポートされている IPv6 ACL を示します。
|
|
|
|
|---|---|---|
IPv6 ACL の概要
サポートされる ACL 機能
Catalyst Switch Module 3110 または 3012 の IPv6 ACL には、次の特性があります。
• 分割フレーム(IPv4 では fragments キーワード)がサポートされます。
• IPv6 ACL では、IPv4 と同じ統計情報がサポートされます。
• スイッチのハードウェア メモリが不足している場合、ACL に対応付けられたパケットは CPU に転送され、ACL はソフトウェアで適用されます。
Catalyst Switch Module 3110 の IPv6 ACL には、次の特性があります。
– IPv6 ルータ ACL は、ルーテッド ポート、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)、またはレイヤ 3 EtherChannel に設定できるレイヤ 3 インターフェイスの発信トラフィックまたは着信トラフィックでサポートされます。IPv6 ルータ ACL は、ルーティングされる IPv6 パケットに対してだけ適用されます。
– IPv6 ポート ACL は、レイヤ 2 インターフェイスの着信トラフィックだけでサポートされます。IPv6 ポート ACL は、インターフェイスに着信するすべての IPv6 パケットに対して適用されます。
• IP ベース フィーチャ セットを実行しているスイッチは、入力ルータ IPv6 ACL だけをサポートしています。ポート ACL や出力 IPv6 ルータ ACL をサポートしません。
(注) 未サポートの IPv6 ACL を設定すると、エラー メッセージが表示されて設定が有効になりません。
• 出力ルータ ACL または入力ポート ACL を、IP ベース フィーチャ セットまたは IP サービス フィーチャ セットを実行しているスイッチ上で作成または適用すると、ACL はスイッチ コンフィギュレーションに追加されますが、有効にならず、エラー メッセージが表示されます。出力ルータ ACL または入力ポート ACL を使用する必要がある場合は、スイッチ コンフィギュレーションを保存し、ACL をサポートしている IP サービス フィーチャ セットをイネーブルにします。
• スイッチは、IPv6 トラフィックの VLAN ACL(VLAN マップ)をサポートしません。
(注) スイッチの ACL サポートの詳細については、第 35 章「ACL によるネットワーク セキュリティの設定」を参照してください。
• 1 つのインターフェイスに、IPv4 ACL および IPv6 ACL の両方を適用できます。
• IPv4 ACL の場合と同様に、IPv6 ポート ACL はルータ ACL よりも優先されます。
– SVI に入力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに着信したパケットはポート ACL によってフィルタリングされます。その他のポートに着信したルーテッド IP パケットは、ルータ ACL によってフィルタリングされます。他のパケットはフィルタリングされません。
– SVI に出力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに着信したパケットはポート ACL によってフィルタリングされます。発信ルーテッド IPv6 パケットは、ルータ ACL によってフィルタリングされます。他のパケットはフィルタリングされません。
(注) いずれかのポート ACL(IPv4、IPv6、または MAC)がインターフェイスに適用された場合、そのポート ACL を使用してパケットをフィルタリングし、ポート VLAN の SVI に適用されたルータ ACL は無視されます。
• ホップバイホップ オプションがあるルーテッド パケットまたはブリッジド パケットには、ソフトウェアで適用される IPv6 ACL が設定されます。
• ロギングは、ルータ ACL ではサポートされますが、ポート ACL ではサポートされません。
• すべてのプレフィクス長に対し、IPv6 アドレス照合がサポートされます。
Catalyst Switch Module 3012 の IPv6 ACL には、次の特性があります。
• レイヤ 3 インターフェイスで受信するすべての IPv6 管理パケットに適用される、入力ルータ IPv6 ACL だけがサポートされます。
• IPv6 トラフィックに対する IPv6 ポート ACL、出力 IPv6 ルータ ACL、VLAN ACL(VLAN マップ)はサポートされません。
IPv6 ACL の制限事項
IPv4 では、番号付きの標準 IP ACL および拡張 IP ACL、名前付き IP ACL、および MAC ACL を設定できます。IPv6 がサポートするのは名前付き ACL だけです。
Cisco IOS でサポートされる IPv6 ACL の大部分がサポートされますが、次の例外があります。
• IPv6 送信元および宛先アドレス:ACL 照合は、Extended Unique Identifier(EUI)-64 形式の/0 ~/64 のプレフィクスおよびホスト アドレス(/128)だけでサポートされます。Catalyst Switch Module 3012 は、次のホスト アドレスだけをサポートします。
• キーワード flowlabel 、 routing header 、 undetermined-transport に対する照合はサポートされません。
• 再起 ACL( reflect キーワード)はサポートされません。
• IPv6 フレームには MAC ベース ACL が適用されません。
• レイヤ 2 EtherChannel に IPv6 ポート ACL を適用できません。
• IPv6 の出力ルータ ACL および入力ポート ACL は、Catalyst Switch Module 3110 が IP サービス フィーチャ セットを実行している場合にだけサポートされます。IP ベース フィーチャ セットを実行しているスイッチでは、IPv6 管理トラフィックに対する入力ルータ ACL だけがサポートされます。
• ACL を設定する場合、ACL に入力されるキーワードには、それがプラットフォームでサポートされるかどうかにかかわらず、制限事項はありません。ハードウェア転送が必要なインターフェイス(物理ポートまたは SVI)に ACL を適用する場合、スイッチはインターフェイスで ACL がサポートされるかどうか判別します。サポートされない場合、ACL の付加は拒否されます。
• インターフェイスに ACL が適用されており、サポートされないキーワードを持つ Access Control Entry(ACE; アクセス コントロール エントリ)を追加しようとした場合、スイッチは ACL への ACE の追加を拒否します。
IPv6 ACL とスイッチ スタック
スタック マスターは IPv6 ACL をハードウェアでサポートし、IPv6 ACL をスタック メンバーに配信します。
(注) スイッチ スタック内で IPv6 を機能させるには、すべてのスタック メンバーで IP サービス フィーチャ セットを実行している必要があります。IP サービス フィーチャ セットまたは IP ベース フィーチャ セットを実行しているスイッチは、IPv6 管理トラフィックの入力ルータ IPv6 ACL だけをサポートしています。
新しいスイッチがスタック マスターを引き継ぐと、ACL 設定がすべてのスタック メンバーに配信されます。メンバー スイッチは、新しいスタック マスターによって配信された設定を同期し、不要なエントリを消去します。
ACL の修正、インターフェイスへの適用、またはインターフェイスからの解除が行われると、スタック マスターは変更内容をすべてのスタック メンバーに配信します。
IPv6 ACL の設定
IPv6 ACL を設定する場合は、事前にデュアル IPv4/IPv6 SDM テンプレートのいずれかを選択する必要があります。
IPv6 トラフィックをフィルタリングする場合は、次の手順を実行します。
ステップ 1 IPv6 ACL を作成し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。
ステップ 2 IPv6 ACL が、トラフィックをブロックする(拒否)または通過させる(許可)ように設定します。
ステップ 3 インターフェイスに IPv6 ACL を適用します。ルータ ACL では、ACL が適用されるレイヤ 3 インターフェイスにも IPv6 アドレスを設定する必要があります。
ここでは、IPv6 ACL の設定および適用方法について説明します。
IPv6 ACL のデフォルト設定
他の機能およびスイッチとの相互作用
IPv6 ACL の設定には、他の機能またはスイッチ特性と次の相互作用があります。
• IPv6 ルータ ACL がパケットを拒否するよう設定されている場合、パケットはルーティングされません。パケットのコピーが Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)キューに送信され、フレームに ICMP 到達不能メッセージが生成されます。
• ブリッジド フレームがポート ACL によって廃棄される場合、このフレームはブリッジングされません。
• IPv4 ACL および IPv6 ACL の両方を 1 つのスイッチまたはスイッチ スタックに作成したり、同一インターフェイスに適用したりできます。各 ACL には一意の名前が必要です。設定済みの名前を使用しようとすると、エラー メッセージが表示されます。
IPv4 ACL と IPv6 ACL の作成、および同一のレイヤ 2 インターフェイスまたはレイヤ 3 インターフェイスへの適用には、異なるコマンドを使用します。ACL を付加するのに誤ったコマンドを使用すると(たとえば、IPv6 ACL の付加に IPv4 コマンドを使用するなど)、エラー メッセージが表示されます。
• MAC ACL を使用して、IPv6 フレームをフィルタリングできません。MAC ACL は非 IP フレームだけをフィルタリングできます。
• ハードウェア メモリが満杯の場合、ACL が設定された追加のパケットは CPU に転送され、ACL がソフトウェアで適用されます。
IPv6 ACL の作成
IPv6 ACL を作成するには、特権 EXEC モードで次の手順を実行します。
指定したアクセス リストから拒否条件または許可条件を削除するには、 no { deny | permit } IPv6 access-list コンフィギュレーション コマンドとキーワードを使用します。
この例では、CISCO という名前の IPv6 アクセス リストを設定します。リストの最初の拒否エントリにより、宛先 TCP ポート番号が 5000 より大きいパケットがすべて拒否されます。2 番目の拒否エントリにより、送信元 UDP ポート番号が 5000 より小さいパケットが拒否されます。また、この 2 番目の拒否エントリは、すべての一致をコンソールに表示します。リストの最初の許可エントリにより、すべての ICMP パケットが許可されます。リストの 2 番目の許可エントリにより、その他のすべてのトラフィックが許可されます。すべてのパケットを拒否する暗黙の条件が各 IPv6 アクセス リストの末尾にあるので、この 2 番目の許可エントリが必要となります。
インターフェイスへの IPv6 ACL の適用
ここでは、ネットワーク インターフェイスに IPv6 ACL を適用する手順について説明します。スイッチが IP サービス フィーチャ セットを実行している場合、ACL をレイヤ 3 インターフェイスの発信または着信トラフィック、あるいはレイヤ 2 インターフェイスの着信トラフィックに適用することができます。スイッチが IP サービス フィーチャ セットまたは IP ベース フィーチャ セットを実行している場合、ACL をレイヤ 3 インターフェイスの着信管理トラフィックだけに適用することができます。
インターフェイスへのアクセスを制御するには、特権 EXEC モードで次の手順を実行します。
インターフェイスからアクセス リストを削除するには、 no ipv6 traffic-filter access-list-name インターフェイス コンフィギュレーション コマンドを使用します。
次に、アクセス リスト Cisco をレイヤ 3 インターフェイスの発信トラフィックに適用する例を示します。
IPv6 ACL の表示
表 36-2 に記載のいずれかまたは両方の特権 EXEC コマンドを使用して、すべての設定済みアクセス リスト、すべての IPv6 アクセス リスト、または特定のアクセス リストに関する情報を表示できます。
|
|
|
|---|---|
次に、 show access-lists 特権 EXEC コマンドの出力例を示します。出力には、スイッチまたはスイッチ スタックに設定済みのすべてのアクセス リストが表示されます。
次に、 show ipv6 access-lists 特権 EXEC コマンドの出力例を示します。出力には、スイッチまたはスイッチ スタックに設定済みの IPv6 入力および出力アクセス リストだけが表示されます。
フィードバック