この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
VLAN ACL(VACL)は、Media Access Control(MAC; メディア アクセス制御)ACL または IP ACL のアプリケーションの 1 つです。VACL を設定し、VLAN との間でルーティングされるかまたは VLAN 内でブリッジングされるすべてのパケットに適用できます。VACL は、セキュリティ パケット フィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトのみを目的としたものです。VACL は方向(入力または出力)では定義されません。
ACL のタイプおよびアプリケーションについての詳細は、「ACL の概要」を参照してください。
• 「統計情報」
VACL は、アクセス マップを使用して、IP ACL または MAC ACL を処理とリンクします。デバイスは、VACL で許可されているパケットに対し、設定済みの処理を実行します。
アクセス マップ コンフィギュレーション モードで action コマンドを使用し、次のいずれかの処理を指定します。
• Forward ― スイッチの通常の動作で決定された宛先にトラフィックを送信します。
• Redirect ― 1 つまたは複数の指定インターフェイスにトラフィックをリダイレクトします。
処理を指定する際には、次の 2 つのオプションも指定できます。
VACL の各ルールのグローバル統計が維持されます。1 つの VACL が複数の VLAN に適用される場合、維持されるルール統計は、その ACL が適用されるすべてのインターフェイスと一致する(ヒットする)パケットの合計です。
(注) インターフェイスレベルの VACL 統計はサポートされていません。
設定する VLAN アクセス マップごとに、その VACL の統計情報を維持するかどうかを指定できます。この機能を使用すると、VACL によってフィルタリングされたトラフィックの監視が必要かどうかに応じて、あるいは VLAN アクセスマップの設定のトラブルシューティングが必要かどうかに応じて、VACL 統計をオンまたはオフにできます。
VACL 統計の表示については、「VACL の統計情報の表示とクリア」を参照してください。
Session Manager は VACL の設定をサポートしています。この機能を使用すると、ACL の設定を調べて、設定の実行をコミットする前にその設定に必要とされるリソースが利用可能であるかどうかを確認できます。Session Manager についての詳細は、『 Cisco NX-OS System Management Guide 』を参照してください。
Virtual Device Context(VDC; バーチャル デバイス コンテキスト)で使用される VACL には次の事項が適用されます。
• ACL は各 VDC に固有です。ある VDC に作成した ACL を別の VDC に使用することはできません。
|
|
---|---|
VACL にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。 |
• VACL を設定するには、VLAN に関する知識が必要です。
• 「ACL の概要」に記載されている内容を理解している必要があります。
VACL の設定に関する注意事項と制約事項は次のとおりです。
• ACL の設定には Session Manager を使用することを推奨します。この機能を使用すると、ACL の設定を調べて、設定の実行をコミットする前にその設定に必要とされるリソースが利用可能であるかどうかを確認できます。Session Manager についての詳細は、『 Cisco NX-OS System Management Guide 』を参照してください。
• ACL に関する詳細は、「ACL の概要」を参照してください。
VACL の作成または変更を行うことができます。VACL の作成には、IP または MAC ACL を一致トラフィックに適用される処理と関連付けるアクセス マップの作成が含まれます。
VACL に使用する IP ACL または MAC ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。IP ACL の設定に関する詳細は、「IP ACL の設定」を参照してください。MAC ACL の設定に関する詳細は、「MAC ACL の設定」を参照してください。
3. match ip address ip-access-list
match mac address mac-access-list
その VACL が VLAN に適用されているかどうかを確認します。削除できるのは、現在 適用されている VACL です。VACL を削除しても、その VACL が適用されている VLAN の設定には影響しません。デバイスは削除された VACL を空であるとみなします。
|
|
|
---|---|---|
VACL を適用する際には、その VACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。VACL の作成についての詳細は、「VACL の作成または変更」を参照してください。
VACL の適用を解除する際には、必ず正しい VACL の適用を解除するとともに、その VACL が現在どのように適用されているのかを十分に理解している必要があります。VACL の設定確認についての詳細は、「VACL の設定の確認」を参照してください。
|
|
|
---|---|---|
[ no ] vlan filter map-name vlan-list list switch(config)# vlan filter acl-mac-map vlan-list 1-20,26-30 |
指定したリストによって、VACL を VLAN に適用します。 no オプションを使用すると、その VACL の適用が解除されます。 |
|
VACL の設定情報を表示するには、次のいずれかのコマンドを使用します。
|
|
---|---|
これらのコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
VACL の統計情報の表示またはクリアを行うには、次のいずれかの作業を行います。
|
|
---|---|
VACL の設定を表示します。VLAN アクセス マップに statistics コマンドが含まれている場合は、 show ip access-lists コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
|
これらのコマンドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
次の例では、acl-mac-01 という名前の MAC ACL で許可されたトラフィックを転送する VACL を設定し、その VACL を VLAN 50 ~ 82 に適用します。
表12-1 に VACL パラメータのデフォルトの設定値を示します。
|
|
---|---|
すべての ACL に暗黙ルールが適用されます( 暗黙ルールを参照)。 |
IP ACL の実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「規格」
|
|
---|---|
|
|
---|---|
この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。 |