この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
IP Version 6(IPv6)アクセス コントロール リスト(ACL)を作成し、それをインターフェイスに適用することによって、IPv6 トラフィックをフィルタリングできます。これは、IP Version 4(IPv4)の名前付き ACL を作成し、適用する方法と同じです。 また、スイッチで IP ベース フィーチャ セットが稼働している場合、入力ルータ ACL を作成しそれを適用してレイヤ 3 管理トラフィックをフィルタリングすることもできます。
IPv4 では、番号制の標準 IP ACL および拡張 IP ACL、名前付き IP ACL、および MAC ACL を設定できます。 IPv6 がサポートするのは名前付き ACL だけです。
スイッチは、flowlabel、routing header、および undetermined-transport というキーワードの照合をサポートしません。
スイッチは再帰 ACL(reflect キーワード)をサポートしません。
スイッチは IPv6 フレームに MAC ベース ACL を適用しません。
ACL を設定する場合、ACL に入力されるキーワードには、それがプラットフォームでサポートされるかどうかにかかわらず、制限事項はありません。 ハードウェア転送が必要なインターフェイス(物理ポートまたは SVI)に ACL を適用する場合、スイッチはインターフェイスで ACL がサポートされるかどうかを判別します。 サポートされない場合、ACL の付加は拒否されます。
インターフェイスに適用される ACL に、サポートされないキーワードを持つアクセス コントロール エントリ(ACE)を追加しようとする場合、スイッチは現在インターフェイスに適用されている ACL に ACE が追加されることを許可しません。
アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。 スイッチで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、またはワイヤレス クライアントとやり取りするデータ トラフィックの制御用の WLAN、あるいは中央処理装置(CPU)宛のすべてのトラフィックの制御用のコントローラ CPU に適用できます。
Web 認証用に事前認証 ACL を作成することもできます。 このような ACL は、認証が完了するまでに特定のタイプのトラフィックを許可するために使用されます。
IPv6 ACL は、送信元、宛先、送信元ポート、宛先ポートなど、IPv4 ACL と同じオプションをサポートします。
(注) |
ネットワーク内で IPv4 トラフィックだけを有効にするには、IPv6 トラフィックをブロックします。 つまり、すべての IPv6 トラフィックを拒否するように IPv6 ACL を設定し、これを特定またはすべての WLAN 上で適用します。 |
IP ベース フィーチャ セットが稼働しているスイッチは、入力ルータ IPv6 ACL だけをサポートします。 ポート ACL または出力ルータ IPv6 ACL はサポートされません。
(注) |
サポートされない IPv6 ACL を設定した場合、エラー メッセージが表示され、その設定は有効になりません。 |
スイッチは、IPv6 トラフィックの Virtual LAN(VLAN)ACL(VLAN マップ)をサポートしません。
SVI に入力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに着信したパケットはポート ACL によってフィルタリングされます。 その他のポートに着信したルーテッド IP パケットは、ルータ ACL によってフィルタリングされます。 他のパケットはフィルタリングされません。
SVI に出力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに
着信したパケットはポート ACL によってフィルタリングされます。 発信ルーテッド IPv6 パケットは、ルータ ACL によってフィルタリングされます。 他のパケットはフィルタリングされません。
(注) |
いずれかのポート ACL(IPv4、IPv6、または MAC)がインターフェイスに適用された場合、そのポート ACL を使用してパケットをフィルタリングし、ポート VLAN の SVI に適用されたルータ ACL は無視されます。 |
ユーザあたりの ACL の場合、テキスト文字列として、完全アクセス制御エントリ(ACE)が ACS で設定されます。
ACE はコントローラで設定されません。 ACE は ACCESS-Accept 属性でスイッチに送信され、クライアント用に直接適用されます。 ワイヤレス クライアントが外部スイッチにローミングするときに、ACE が、AAA 属性としてモビリティ ハンドオフ メッセージで外部スイッチに送信されます。
filter-Id ACL の場合、完全な ACE および acl name(filter-id) がスイッチで設定され、filter-id のみが ACS で設定されます。 filter-id は ACCESS-Accept 属性でスイッチに送信され、スイッチは ACE の filter-id をルックアップしてから、クライアントに ACE を適用します。 クライアント L2 が外部スイッチにローミングするときに、filter-id だけがモビリティ ハンドオフ メッセージで外部スイッチに送信されます。 外部スイッチは filter-id と ACE を事前に設定する必要があります。
ダウンロード可能 ACL(dACL)の場合、完全な ACE および dacl 名はすべて ACS だけで設定されます。
(注) |
コントローラは ACL を設定しません。 |
ACS は dacl 名をスイッチに対しその ACCESS-Accept 属性で送信します。さらに dacl 名を使用して、ACE のために dACL 名が ACS に、access-request 属性によって戻されます。
ACS は access-accept 属性でスイッチの対応する ACE に応答します。 ワイヤレス クライアントが外部スイッチにローミングするときに、dacl 名だけがモビリティ ハンドオフ メッセージで外部スイッチに送信されます。 外部スイッチは、dacl 名の ACS サーバにアクセスして ACE を取得します。
スタック マスターは IPv6 ACL をハードウェアでサポートし、IPv6 ACL をスタック メンバーに配信します。
(注) |
スイッチ スタック内で IPv6 を完全に機能させるには、すべてのスタック メンバーで拡張 IP サービス フィーチャ セットが稼働している必要があります。 |
新しいスイッチがスタック マスターを引き継ぐと、ACL 設定がすべてのスタック メンバーに配信されます。 メンバ スイッチは、新しいスタック マスターによって配信された設定との同期をとり、不要なエントリを一掃します。
ACL の修正、インターフェイスへの適用、またはインターフェイスからの解除が行われると、スタック マスターは変更内容をすべてのスタック メンバーに配信します。
IPv6 トラフィックをフィルタリングする場合は、次の手順を実行します
IPv6 ACL を設定する場合は、事前にデュアル IPv4 および IPv6 SDM テンプレートのいずれかを選択する必要があります。
1. IPv6 ACL を作成し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。
2. IPv6 ACL が、トラフィックをブロックする(拒否)または通過させる(許可)よう設定します。
3. トラフィックをフィルタリングする必要があるインターフェイスに IPv6 ACL を適用します。
4. インターフェイスに IPv6 ACL を適用します。 ルータ ACL では、ACL が適用されるレイヤ 3 インターフェイスにも IPv6 アドレスを設定する必要があります。
デフォルトでは、IPv6 ACL は設定または適用されていません。
IPv6 ルータ ACL がパケットを拒否するよう設定されている場合、パケットはルーティングされません。 パケットのコピーがインターネット制御メッセージ プロトコル(ICMP)キューに送信され、フレームに ICMP 到達不能メッセージが生成されます。
ブリッジド フレームがポート ACL によってドロップされる場合、このフレームはブリッジングされません。
IPv4 ACL および IPv6 ACL の両方を 1 つのスイッチまたはスイッチ スタックに作成したり、同一インターフェイスに適用できます。 各 ACL には一意の名前が必要です。設定済みの名前を使用しようとすると、エラー メッセージが表示されます。
IPv4 ACL と IPv6 ACL の作成、および同一のレイヤ 2 インターフェイスまたはレイヤ 3 インターフェイスへの IPv4 ACL または IPv6 ACL の適用には、異なるコマンドを使用します。 ACL を付加するのに誤ったコマンドを使用すると(たとえば、IPv6 ACL の付加に IPv4 コマンドを使用するなど)、エラー メッセージが表示されます。
IPv6 ACL を作成するには、特権 EXEC モードで次の手順を実行します。
1. configure terminal
2. ipv6 access-list acl_name
3. {deny|permit} protocol
4. {deny|permit} tcp
5. {deny|permit} udp
6. {deny|permit} icmp
7. end
8. show ipv6 access-list
9. copy running-config startup-config
ここでは、ネットワーク インターフェイスに IPv6 ACL を適用する手順について説明します。 レイヤ 2 およびレイヤ 3 インターフェイスの発信または着信トラフィックに IPv6 ACL を適用できます。 IPv6 ACL はレイヤ 3 インターフェイスの着信管理トラフィックにだけ適用できます。
インターフェイスへのアクセスを制御するには、特権 EXEC モードで次の手順を実行します。
1. configure terminal
2. interface interface_id
3. no switchport
4. ipv6 address ipv6_address
5. ipv6 traffic-filter acl_name
6. end
7. show running-config interface tenGigabitEthernet 1/0/3
8. copy running-config startup-config
1. ipv6 traffic-filter acl acl_name
2. ipv6 traffic-filter acl web
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | ipv6 traffic-filter acl acl_name 例: Switch(config-wlan)# ipv6 traffic-filter acl <acl_name> |
名前付き WLAN ACL を作成します。 |
ステップ 2 | ipv6 traffic-filter acl web 例: Switch(config-wlan)# ipv6 traffic-filter acl web <acl_name-preauth> |
WLAN ACL の事前認証を作成します。 |
Switch(config-wlan)# ipv6 traffic-filter acl <acl_name> Switch(config-wlan)#ipv6 traffic-filter acl web <acl_name-preauth>
1 つまたは複数の特権 EXEC コマンドを使用して、設定済みのすべてのアクセス リスト、すべての IPv6 アクセス リスト、または特定のアクセス リストに関する情報を表示できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | show access-list 例: Switch# show access-lists |
スイッチに設定されたすべてのアクセス リストを表示します。 |
ステップ 2 | show ipv6 access-list acl_name 例: Switch# show ipv6 access-list [access-list-name] |
設定済みのすべての IPv6 アクセス リストまたは名前付けされたアクセス リストを表示します。 |
(注) |
ロギングは、レイヤ 3 インターフェイスでのみサポートされます。 |
Switch(config)# ipv6 access-list CISCO Switch(config-ipv6-acl)# deny tcp any any gt 5000 Switch (config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log Switch(config-ipv6-acl)# permit icmp any any Switch(config-ipv6-acl)# permit any any
Switch(config-if)# no switchport Switch(config-if)# ipv6 address 2001::/64 eui-64 Switch(config-if)# ipv6 traffic-filter CISCO out
Switch #show access-lists
Extended IP access list hello
10 permit ip any any
IPv6 access list ipv6
permit ipv6 any any sequence 10
Switch# show ipv6 access-list
IPv6 access list inbound
permit tcp any any eq bgp (8 matches) sequence 10
permit tcp any any eq telnet (15 matches) sequence 20
permit udp any any sequence 30
IPv6 access list outbound
deny udp any any sequence 10
deny tcp any any eq telnet sequence 20
このタスクでは、省電力のワイヤレス クライアントが頻繁な非請求の定期的 RA に影響されないように、RA スロットル ポリシーを作成する方法について説明します。 非請求タイプのマルチキャスト RA は、コントローラによってスロットルされます。
クライアント マシンで IPv6 をイネーブルにします。
1. configure terminal
2. ipv6 nd ra-throttler policy Mythrottle
3. throttle-period 20
4. max-through 5
5. allow at-least 3 at-most 5
6. switch (config)# vlan configuration 100
7. ipv6 nd suppress
8. ipv6 nd ra-th attach-policy attach-policy_name
9. end
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: Switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | ipv6 nd ra-throttler policy Mythrottle 例: Switch (config)# ipv6 nd ra-throttler policy Mythrottle |
Mythrottle という RA スロットラ ポリシーを作成します。 |
ステップ 3 | throttle-period 20 例: Switch (config-nd-ra-throttle)# throttle-period 20 |
スロットリングを適用する時間間隔セグメントを特定します。 |
ステップ 4 | max-through 5 例: Switch (config-nd-ra-throttle)# max-through 5
|
許容する初期 RA の数を特定します。 |
ステップ 5 | allow at-least 3 at-most 5 例: Switch (config-nd-ra-throttle)# allow at-least 3 at-most 5 |
初期 RA が送信された後に、間隔セグメントの終了まで許容される RA の数を特定します。 |
ステップ 6 | switch (config)# vlan configuration 100 例: Switch (config)# vlan configuration 100 |
vlan あたりの設定を作成します。 |
ステップ 7 | ipv6 nd suppress 例: Switch (config)# ipv6 nd suppress
|
Vlan でネイバー探索をディセーブルにします。 |
ステップ 8 | ipv6 nd ra-th attach-policy attach-policy_name 例: Switch (config)# ipv6 nd ra-throttle attach-policy attach-policy_name |
ルータ アドバタイズメント スロットリングをイネーブルにします。 |
ステップ 9 | end 例: Switch(config)# end |
特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
1. ipv6 nd raguard policy MyPloicy
2. trusted-port
3. device-role router
4. interface tenGigabitEthernet 1/0/1
5. ipv6 nd raguard attach-policyMyPolicy
6. vlan configuration 19-21,23
7. ipv6 nd suppress
8. ipv6 snooping
9. ipv6 nd raguard attach-policy MyPolicy
10. ipv6 nd ra-throttler attach-policy Mythrottle
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | ipv6 nd raguard policy MyPloicy 例: Switch (config)# ipv6 nd raguard policy MyPolicy |
|
ステップ 2 | trusted-port 例: Switch (config-nd-raguard)# trusted-port |
上記で作成したポリシーの信頼できるポートを設定します。 |
ステップ 3 | device-role router 例: Switch (config-nd-raguard)# device-role [host|monitor|router|switch] Switch (config-nd-raguard)# device-role router |
上記で作成した信頼できるポートに RA を送信可能な信頼できるデバイスを定義します。 |
ステップ 4 | interface tenGigabitEthernet 1/0/1 例: Switch (config)# interface tenGigabitEthernet 1/0/1 |
信頼できるデバイスにインターフェイスを設定します。 |
ステップ 5 | ipv6 nd raguard attach-policyMyPolicy 例: Switch (config-if)# ipv6 nd raguard attach-policy Mypolicy |
ポートから受信した RA を信頼するようにポリシーを設定し、接続します。 |
ステップ 6 | vlan configuration 19-21,23 例: Switch (config)# vlan configuration 19-21,23 |
ワイヤレス クライアントの vlan を設定します。 |
ステップ 7 | ipv6 nd suppress 例: Switch (config-vlan-config)# ipv6 nd suppress |
無線上で ND メッセージを抑制します。 |
ステップ 8 | ipv6 snooping 例: Switch (config-vlan-config)# ipv6 snooping |
IPv6 トラフィックをキャプチャします。 |
ステップ 9 | ipv6 nd raguard attach-policy MyPolicy 例: Switch (config-vlan-config)# ipv6 nd raguard attach-policy Mypolicy |
ワイヤレス クライアントの vlan に RA ガード ポリシーを接続します。 |
ステップ 10 | ipv6 nd ra-throttler attach-policy Mythrottle 例: Switch (config-vlan-config)#ipv6 nd ra-throttler attach-policy Mythrottle |
ワイヤレス クライアントの vlan に RA スロットリング ポリシーを接続します。 |
1. ipv6 neighbor binding [vlan ]19 2001:db8::25:4 interface tenGigabitEthernet 1/0/3 aaa.bbb.ccc
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | ipv6 neighbor binding [vlan ]19 2001:db8::25:4 interface tenGigabitEthernet 1/0/3 aaa.bbb.ccc 例: Switch (config)# ipv6 neighbor binding vlan 19 2001:db8::25:4 interface tenGigabitEthernet 1/0/3 aaa.bbb.ccc |
送信元 MAC アドレスとして aaa.bbb.ccc が設定されたインターフェイス te1/0/3 を介して VLAN 19 で送信する場合にのみ有効なネイバー 2001:db8::25: 4 を設定して検証します。 |
関連項目 | マニュアル タイトル |
---|---|
IPv6 コマンド リファレンス | IPv6 Command Reference (Catalyst 3850 Switches) |
ACL 設定 | Security Configuration Guide (Catalyst 3850 Switches) |
説明 | リンク |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
MIB | MIB のリンク |
---|---|
本リリースでサポートするすべての MIB | 選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB のダウンロードには、次の URL にある Cisco MIB Locator を使用します。 |
説明 | Link |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングに役立てていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
機能 |
リリース |
変更内容 |
---|---|---|
IPv6 ACL 機能 |
Cisco IOS XE 3.2SE |
この機能が導入されました。 |
目次
IPv4 では、番号制の標準 IP ACL および拡張 IP ACL、名前付き IP ACL、および MAC ACL を設定できます。 IPv6 がサポートするのは名前付き ACL だけです。
スイッチは、flowlabel、routing header、および undetermined-transport というキーワードの照合をサポートしません。
スイッチは再帰 ACL(reflect キーワード)をサポートしません。
スイッチは IPv6 フレームに MAC ベース ACL を適用しません。
ACL を設定する場合、ACL に入力されるキーワードには、それがプラットフォームでサポートされるかどうかにかかわらず、制限事項はありません。 ハードウェア転送が必要なインターフェイス(物理ポートまたは SVI)に ACL を適用する場合、スイッチはインターフェイスで ACL がサポートされるかどうかを判別します。 サポートされない場合、ACL の付加は拒否されます。
インターフェイスに適用される ACL に、サポートされないキーワードを持つアクセス コントロール エントリ(ACE)を追加しようとする場合、スイッチは現在インターフェイスに適用されている ACL に ACE が追加されることを許可しません。
アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。 スイッチで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、またはワイヤレス クライアントとやり取りするデータ トラフィックの制御用の WLAN、あるいは中央処理装置(CPU)宛のすべてのトラフィックの制御用のコントローラ CPU に適用できます。
Web 認証用に事前認証 ACL を作成することもできます。 このような ACL は、認証が完了するまでに特定のタイプのトラフィックを許可するために使用されます。
IPv6 ACL は、送信元、宛先、送信元ポート、宛先ポートなど、IPv4 ACL と同じオプションをサポートします。
(注) |
ネットワーク内で IPv4 トラフィックだけを有効にするには、IPv6 トラフィックをブロックします。 つまり、すべての IPv6 トラフィックを拒否するように IPv6 ACL を設定し、これを特定またはすべての WLAN 上で適用します。 |
IP ベース フィーチャ セットが稼働しているスイッチは、入力ルータ IPv6 ACL だけをサポートします。 ポート ACL または出力ルータ IPv6 ACL はサポートされません。
(注) |
サポートされない IPv6 ACL を設定した場合、エラー メッセージが表示され、その設定は有効になりません。 |
スイッチは、IPv6 トラフィックの Virtual LAN(VLAN)ACL(VLAN マップ)をサポートしません。
SVI に入力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに着信したパケットはポート ACL によってフィルタリングされます。 その他のポートに着信したルーテッド IP パケットは、ルータ ACL によってフィルタリングされます。 他のパケットはフィルタリングされません。
SVI に出力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに
着信したパケットはポート ACL によってフィルタリングされます。 発信ルーテッド IPv6 パケットは、ルータ ACL によってフィルタリングされます。 他のパケットはフィルタリングされません。
(注) |
いずれかのポート ACL(IPv4、IPv6、または MAC)がインターフェイスに適用された場合、そのポート ACL を使用してパケットをフィルタリングし、ポート VLAN の SVI に適用されたルータ ACL は無視されます。 |
ユーザあたりの ACL の場合、テキスト文字列として、完全アクセス制御エントリ(ACE)が ACS で設定されます。
ACE はコントローラで設定されません。 ACE は ACCESS-Accept 属性でスイッチに送信され、クライアント用に直接適用されます。 ワイヤレス クライアントが外部スイッチにローミングするときに、ACE が、AAA 属性としてモビリティ ハンドオフ メッセージで外部スイッチに送信されます。
filter-Id ACL の場合、完全な ACE および acl name(filter-id) がスイッチで設定され、filter-id のみが ACS で設定されます。 filter-id は ACCESS-Accept 属性でスイッチに送信され、スイッチは ACE の filter-id をルックアップしてから、クライアントに ACE を適用します。 クライアント L2 が外部スイッチにローミングするときに、filter-id だけがモビリティ ハンドオフ メッセージで外部スイッチに送信されます。 外部スイッチは filter-id と ACE を事前に設定する必要があります。
ダウンロード可能 ACL(dACL)の場合、完全な ACE および dacl 名はすべて ACS だけで設定されます。
(注) |
コントローラは ACL を設定しません。 |
ACS は dacl 名をスイッチに対しその ACCESS-Accept 属性で送信します。さらに dacl 名を使用して、ACE のために dACL 名が ACS に、access-request 属性によって戻されます。
ACS は access-accept 属性でスイッチの対応する ACE に応答します。 ワイヤレス クライアントが外部スイッチにローミングするときに、dacl 名だけがモビリティ ハンドオフ メッセージで外部スイッチに送信されます。 外部スイッチは、dacl 名の ACS サーバにアクセスして ACE を取得します。
スタック マスターは IPv6 ACL をハードウェアでサポートし、IPv6 ACL をスタック メンバーに配信します。
(注) |
スイッチ スタック内で IPv6 を完全に機能させるには、すべてのスタック メンバーで拡張 IP サービス フィーチャ セットが稼働している必要があります。 |
新しいスイッチがスタック マスターを引き継ぐと、ACL 設定がすべてのスタック メンバーに配信されます。 メンバ スイッチは、新しいスタック マスターによって配信された設定との同期をとり、不要なエントリを一掃します。
ACL の修正、インターフェイスへの適用、またはインターフェイスからの解除が行われると、スタック マスターは変更内容をすべてのスタック メンバーに配信します。
1. IPv6 ACL を作成し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。
2. IPv6 ACL が、トラフィックをブロックする(拒否)または通過させる(許可)よう設定します。
3. トラフィックをフィルタリングする必要があるインターフェイスに IPv6 ACL を適用します。
4. インターフェイスに IPv6 ACL を適用します。 ルータ ACL では、ACL が適用されるレイヤ 3 インターフェイスにも IPv6 アドレスを設定する必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | IPv6 ACL を作成し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。 | |
ステップ 2 | IPv6 ACL が、トラフィックをブロックする(拒否)または通過させる(許可)よう設定します。 | |
ステップ 3 | トラフィックをフィルタリングする必要があるインターフェイスに IPv6 ACL を適用します。 | |
ステップ 4 | インターフェイスに IPv6 ACL を適用します。 ルータ ACL では、ACL が適用されるレイヤ 3 インターフェイスにも IPv6 アドレスを設定する必要があります。 |
IPv6 ルータ ACL がパケットを拒否するよう設定されている場合、パケットはルーティングされません。 パケットのコピーがインターネット制御メッセージ プロトコル(ICMP)キューに送信され、フレームに ICMP 到達不能メッセージが生成されます。
ブリッジド フレームがポート ACL によってドロップされる場合、このフレームはブリッジングされません。
IPv4 ACL および IPv6 ACL の両方を 1 つのスイッチまたはスイッチ スタックに作成したり、同一インターフェイスに適用できます。 各 ACL には一意の名前が必要です。設定済みの名前を使用しようとすると、エラー メッセージが表示されます。
IPv4 ACL と IPv6 ACL の作成、および同一のレイヤ 2 インターフェイスまたはレイヤ 3 インターフェイスへの IPv4 ACL または IPv6 ACL の適用には、異なるコマンドを使用します。 ACL を付加するのに誤ったコマンドを使用すると(たとえば、IPv6 ACL の付加に IPv4 コマンドを使用するなど)、エラー メッセージが表示されます。
1. configure terminal
2. ipv6 access-list acl_name
3. {deny|permit} protocol
4. {deny|permit} tcp
5. {deny|permit} udp
6. {deny|permit} icmp
7. end
8. show ipv6 access-list
9. copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: Switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | ipv6 access-list acl_name 例: ipv6 access-list access-list-name |
名前を使用して IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。 |
ステップ 3 | {deny|permit} protocol 例: {deny | permit} protocol {source-ipv6-prefix/prefix-length | any | host source-ipv6-address} [operator [port-number]]{destination-ipv6-prefix/prefix-length | any |host destination-ipv6-address} [operator [port-number]][dscp value] [fragments][log] [log-input] [routing][sequence value] [time-range name] |
条件が一致した場合にパケットを拒否する場合は deny、許可する場合は permit を指定します。 次に、条件について説明します。
source-ipv6-prefix/prefix-length 引数のあとの operator は、送信元ポートに一致する必要があります。 destination-ipv6- prefix/prefix-length 引数のあとの operator は、宛先ポートに一致する必要があります。
|
ステップ 4 | {deny|permit} tcp 例: {deny | permit} tcp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]]{destination-ipv6-prefix/prefix-length | any |hostdestination-ipv6-address} [operator [port-number]][ack] [dscp value][established] [fin] [log][log-input] [neq {port |protocol}] [psh] [range{port | protocol}] [rst][routing] [sequence value] [syn] [time-range name][urg] |
(任意)TCP アクセス リストおよびアクセス条件を定義します。
TCP の場合は tcp を入力します。 パラメータはステップ 3 で説明されているパラメータと同じですが、次に示すオプションのパラメータが追加されています。
|
ステップ 5 | {deny|permit} udp 例: {deny | permit} udp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]]{destination-ipv6-prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]][dscp value] [log][log-input] [neq {port |protocol}] [range {port |protocol}] [routing][sequence value][time-range name] |
(任意)UDP アクセス リストおよびアクセス条件を定義します。 ユーザ データグラム プロトコルの場合は、udp を入力します。 UDP パラメータは TCP に関して説明されているパラメータと同じです。ただし、[operator [port]] のポート番号またはポート名は、UDP ポートの番号または名前でなければなりません。UDP の場合、established パラメータは無効です。 |
ステップ 6 | {deny|permit} icmp 例: {deny | permit} icmp {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | hostdestination-ipv6-address} [operator [port-number]][icmp-type [icmp-code] |icmp-message] [dscpvalue] [log] [log-input] [routing] [sequence value][time-range name] |
(任意)ICMP アクセス リストおよびアクセス条件を定義します。
インターネット制御メッセージ プロトコルの場合は、icmp を入力します。 ICMP パラメータはステップ 3a の IP プロトコルの説明にあるパラメータとほとんど同じですが、ICMP メッセージ タイプおよびコード パラメータが追加されています。 オプションのキーワードの意味は次のとおりです。
|
ステップ 7 | end 例: Switch(config)# end |
特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
ステップ 8 | show ipv6 access-list 例: show ipv6 access-list |
アクセス リストの設定を確認します。 |
ステップ 9 | copy running-config startup-config 例: copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ここでは、ネットワーク インターフェイスに IPv6 ACL を適用する手順について説明します。 レイヤ 2 およびレイヤ 3 インターフェイスの発信または着信トラフィックに IPv6 ACL を適用できます。 IPv6 ACL はレイヤ 3 インターフェイスの着信管理トラフィックにだけ適用できます。
インターフェイスへのアクセスを制御するには、特権 EXEC モードで次の手順を実行します。
1. configure terminal
2. interface interface_id
3. no switchport
4. ipv6 address ipv6_address
5. ipv6 traffic-filter acl_name
6. end
7. show running-config interface tenGigabitEthernet 1/0/3
8. copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: Switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | interface interface_id 例: Switch# interface interface-id |
アクセス リストを適用するレイヤ 2 インターフェイス(ポート ACL 用)またはレイヤ 3 スイッチ仮想インターフェイス(ルータ ACL 用)を特定して、インターフェイス コンフィギュレーション モードを開始します。 |
||
ステップ 3 | no switchport 例: Switch# no switchport |
レイヤ 2 モード(デフォルト)からレイヤ 3 モードにインターフェイスを変更します(ルータ ACL を適用する場合のみ)。 |
||
ステップ 4 | ipv6 address ipv6_address 例: Switch# ipv6 address ipv6-address |
レイヤ 3 インターフェイス(ルータ ACL 用)で IPv6 アドレスを設定します。
|
||
ステップ 5 | ipv6 traffic-filter acl_name 例: Switch# ipv6 traffic-filter access-list-name {in | out} |
インターフェイスの着信トラフィックまたは発信トラフィックにアクセス リストを適用します。 |
||
ステップ 6 | end 例: Switch(config)# end |
特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
||
ステップ 7 | show running-config interface tenGigabitEthernet 1/0/3 例: Switch# show running-config interface tenGigabitEthernet 1/0/3
..........................
..........................
Building configuration ............
..........................
Current configuration : 98 bytes
!
interface TenGigabitEthernet1/0/3
switchport mode trunk
ipv6 traffic-filter MyFilter out
end
|
設定の概要を示します。 |
||
ステップ 8 | copy running-config startup-config 例: copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
1. ipv6 traffic-filter acl acl_name
2. ipv6 traffic-filter acl web
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | ipv6 traffic-filter acl acl_name 例: Switch(config-wlan)# ipv6 traffic-filter acl <acl_name> |
名前付き WLAN ACL を作成します。 |
ステップ 2 | ipv6 traffic-filter acl web 例: Switch(config-wlan)# ipv6 traffic-filter acl web <acl_name-preauth> |
WLAN ACL の事前認証を作成します。 |
Switch(config-wlan)# ipv6 traffic-filter acl <acl_name> Switch(config-wlan)#ipv6 traffic-filter acl web <acl_name-preauth>
(注) |
ロギングは、レイヤ 3 インターフェイスでのみサポートされます。 |
Switch(config)# ipv6 access-list CISCO Switch(config-ipv6-acl)# deny tcp any any gt 5000 Switch (config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log Switch(config-ipv6-acl)# permit icmp any any Switch(config-ipv6-acl)# permit any any
Switch #show access-lists
Extended IP access list hello
10 permit ip any any
IPv6 access list ipv6
permit ipv6 any any sequence 10
Switch# show ipv6 access-list
IPv6 access list inbound
permit tcp any any eq bgp (8 matches) sequence 10
permit tcp any any eq telnet (15 matches) sequence 20
permit udp any any sequence 30
IPv6 access list outbound
deny udp any any sequence 10
deny tcp any any eq telnet sequence 20
このタスクでは、省電力のワイヤレス クライアントが頻繁な非請求の定期的 RA に影響されないように、RA スロットル ポリシーを作成する方法について説明します。 非請求タイプのマルチキャスト RA は、コントローラによってスロットルされます。
1. configure terminal
2. ipv6 nd ra-throttler policy Mythrottle
3. throttle-period 20
4. max-through 5
5. allow at-least 3 at-most 5
6. switch (config)# vlan configuration 100
7. ipv6 nd suppress
8. ipv6 nd ra-th attach-policy attach-policy_name
9. end
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: Switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | ipv6 nd ra-throttler policy Mythrottle 例: Switch (config)# ipv6 nd ra-throttler policy Mythrottle |
Mythrottle という RA スロットラ ポリシーを作成します。 |
ステップ 3 | throttle-period 20 例: Switch (config-nd-ra-throttle)# throttle-period 20 |
スロットリングを適用する時間間隔セグメントを特定します。 |
ステップ 4 | max-through 5 例: Switch (config-nd-ra-throttle)# max-through 5
|
許容する初期 RA の数を特定します。 |
ステップ 5 | allow at-least 3 at-most 5 例: Switch (config-nd-ra-throttle)# allow at-least 3 at-most 5 |
初期 RA が送信された後に、間隔セグメントの終了まで許容される RA の数を特定します。 |
ステップ 6 | switch (config)# vlan configuration 100 例: Switch (config)# vlan configuration 100 |
vlan あたりの設定を作成します。 |
ステップ 7 | ipv6 nd suppress 例: Switch (config)# ipv6 nd suppress
|
Vlan でネイバー探索をディセーブルにします。 |
ステップ 8 | ipv6 nd ra-th attach-policy attach-policy_name 例: Switch (config)# ipv6 nd ra-throttle attach-policy attach-policy_name |
ルータ アドバタイズメント スロットリングをイネーブルにします。 |
ステップ 9 | end 例: Switch(config)# end |
特権 EXEC モードに戻ります。 また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
1. ipv6 nd raguard policy MyPloicy
2. trusted-port
3. device-role router
4. interface tenGigabitEthernet 1/0/1
5. ipv6 nd raguard attach-policyMyPolicy
6. vlan configuration 19-21,23
7. ipv6 nd suppress
8. ipv6 snooping
9. ipv6 nd raguard attach-policy MyPolicy
10. ipv6 nd ra-throttler attach-policy Mythrottle
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | ipv6 nd raguard policy MyPloicy 例: Switch (config)# ipv6 nd raguard policy MyPolicy |
|
ステップ 2 | trusted-port 例: Switch (config-nd-raguard)# trusted-port |
上記で作成したポリシーの信頼できるポートを設定します。 |
ステップ 3 | device-role router 例: Switch (config-nd-raguard)# device-role [host|monitor|router|switch] Switch (config-nd-raguard)# device-role router |
上記で作成した信頼できるポートに RA を送信可能な信頼できるデバイスを定義します。 |
ステップ 4 | interface tenGigabitEthernet 1/0/1 例: Switch (config)# interface tenGigabitEthernet 1/0/1 |
信頼できるデバイスにインターフェイスを設定します。 |
ステップ 5 | ipv6 nd raguard attach-policyMyPolicy 例: Switch (config-if)# ipv6 nd raguard attach-policy Mypolicy |
ポートから受信した RA を信頼するようにポリシーを設定し、接続します。 |
ステップ 6 | vlan configuration 19-21,23 例: Switch (config)# vlan configuration 19-21,23 |
ワイヤレス クライアントの vlan を設定します。 |
ステップ 7 | ipv6 nd suppress 例: Switch (config-vlan-config)# ipv6 nd suppress |
無線上で ND メッセージを抑制します。 |
ステップ 8 | ipv6 snooping 例: Switch (config-vlan-config)# ipv6 snooping |
IPv6 トラフィックをキャプチャします。 |
ステップ 9 | ipv6 nd raguard attach-policy MyPolicy 例: Switch (config-vlan-config)# ipv6 nd raguard attach-policy Mypolicy |
ワイヤレス クライアントの vlan に RA ガード ポリシーを接続します。 |
ステップ 10 | ipv6 nd ra-throttler attach-policy Mythrottle 例: Switch (config-vlan-config)#ipv6 nd ra-throttler attach-policy Mythrottle |
ワイヤレス クライアントの vlan に RA スロットリング ポリシーを接続します。 |
1. ipv6 neighbor binding [vlan ]19 2001:db8::25:4 interface tenGigabitEthernet 1/0/3 aaa.bbb.ccc
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | ipv6 neighbor binding [vlan ]19 2001:db8::25:4 interface tenGigabitEthernet 1/0/3 aaa.bbb.ccc 例: Switch (config)# ipv6 neighbor binding vlan 19 2001:db8::25:4 interface tenGigabitEthernet 1/0/3 aaa.bbb.ccc |
送信元 MAC アドレスとして aaa.bbb.ccc が設定されたインターフェイス te1/0/3 を介して VLAN 19 で送信する場合にのみ有効なネイバー 2001:db8::25: 4 を設定して検証します。 |
説明 | リンク |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
説明 | Link |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングに役立てていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |