- はじめに
- 製品の概要
- CLI
- スイッチのIPアドレスおよびデフォル ト ゲートウェイの設定
- イーサネット、ファスト イーサネット、 ギガビット イーサネット、および10ギ ガビット イーサネット スイッチング の設定
- イーサネットVLANトランクの設定
- EtherChannelの設定
- IEEE 802.1Qトンネリングおよびレイ ヤ2プロトコル トンネリングの設定
- スパニングツリーの設定
- スパニングツリーPortFast、 UplinkFast、BackboneFast、および ループ ガードの設定
- VTPの設定
- VLANの設定
- VLAN間ルーティングの設定
- CEF for PFC2の設定
- MLSの設定
- NDEの設定
- アクセス制御の設定
- GVRPの設定
- VMPSによるダイナミック ポート VLANメンバーシップの設定
- ステータスおよび接続の確認
- スイッチの管理
- AAAによるスイッチ アクセスの設定
- 冗長機能の設定
- スイッチの起動設定の変更
- フラッシュ ファイル システムの使用
- システム ソフトウェア イメージ の操作
- コンフィギュレーション ファイル の操作
- システム メッセージ ロギングの設定
- DNSの設定
- CDPの設定
- UDLDの設定
- NTPの設定
- ブロードキャスト抑制の設定
- レイヤ3プロトコル フィルタリングの 設定
- IP許可リストの設定
- ポート セキュリティの設定
- 802.1 x 認証の設定
- ユニキャスト フラッディング ブロック の設定
- SNMPの設定
- RMONの設定
- SPANおよびRSPANの設定
- スイッチTopNレポートの使用方法
- マルチキャスト サービスの設定
- QoSの設定
- 自動QoSの使用
- ASLBの設定
- スイッチ ファブリック モジュールの 設定
- VoIPネットワークの設定
- 略語
- 索引
Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: IP許可リストの設定
IP許可リストの設定
この章では、Catalyst 6500シリーズ スイッチにIP許可リストを設定する方法について説明します。
(注) IP許可リストの機能は、VLAN Access Control List(VACL;VLANアクセス制御リスト)を使用して実行することもできます。VACLはハードウェア(Policy Feature Card[PFC;ポリシー フィーチャ カード])によって処理されるので、VACLのほうがIP許可リストに比べて、はるかに高速に処理されます。
(注) この章で使用しているコマンドの構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。
IP許可リストの機能
IP許可リストは、許可されていない送信元IPアドレスによるスイッチへの着信TelnetおよびSNMP(簡易ネットワーク管理プロトコル)アクセスを防止します。他のすべてのTCP/IPサービス(IP traceroute、IP pingなど)は、IP許可リストをイネーブルにしても、そのまま正常に動作します。発信Telnet、Trivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)、およびその他のIPベース サービスは、IP許可リストの影響を受けません。
許可されていない送信元IPアドレスによるTelnetアクセスでは、接続が拒否されます。許可されていないIPアドレスからのSNMP要求には応答が戻されず、要求はタイムアウトになります。コンソールまたはSyslogサーバに対する無許可アクセスのロギングを希望する場合は、「IP許可リストのイネーブル化」の説明に従ってIPのロギング重大度を変更する必要があります。無許可アクセスの試行時にSNMPトラップが生成されるようにするには、「IP許可リストのイネーブル化」の説明に従ってIP許可リスト(ippermit)SNMPトラップをイネーブルにする必要があります。同じ無許可ホストから複数のアクセスが試みられた場合は、10分ごとに通知が生成されるだけです。
許可リストには最大100のエントリを設定できます。各エントリには、IPアドレスとサブネット マスクのペアをドット付き10進表記で指定すると共に、そのIPアドレスをSNMP許可リスト、Telnet許可リスト、または両方のリストのどれに入れるかを指定します。マスクで1に設定したビットは、着信パケットの送信元IPアドレスと一致するかどうかがチェックされます。ゼロに設定したビットはチェックされません。このプロセスでワイルドカード アドレスを指定できます。
IP許可リストのエントリにマスクを指定しなかった場合、またはIPアドレスの代わりにホスト名を指定した場合には、そのホストのIPアドレスだけと一致するように、マスクのすべてのビットが1(255.255.255.255または0xffffffff)であると仮定されます。
IPアドレスの許可リストの種類としてSNMPまたはTelnetを指定しない場合、そのIPアドレスは、SNMP許可リストおよびTelnet許可リストの両方に追加されます。
マスクが異なっていれば、許可リストの複数エントリに同じIPアドレスを指定することができます。アドレスは、マスクが適用されてからNVRAM(不揮発性RAM)に保管されるので、(たとえアドレスが違っていても)同じ結果となるエントリは保管されません。IP許可リストにこのようなアドレスを追加すると、マスクが適用されたアドレスが表示されます。
IP許可リストのデフォルト設定
表 34-1 に、IP許可リストのデフォルト設定を示します。
|
|
|
|---|---|
スイッチにおけるIP許可リストの設定
IP許可リストへのIPアドレスの追加
SNMP許可リスト、Telnet許可リスト、または両方のリストに特定のIPアドレスを追加できます。
IP許可リストにIPアドレスを追加するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
IP許可リストにIPアドレスを追加し、設定を確認する例を示します。
IP許可リストのイネーブル化
SNMP許可リスト、Telnet許可リスト、または両方のリストをイネーブルに設定できます。許可リストを指定しない場合は、SNMP許可リストおよびTelnet許可リストの両方がイネーブルに設定されます。
スイッチのIP許可リストをイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
IP許可リストをイネーブルにし、設定を確認する例を示します。
IP許可リストのディセーブル化
スイッチのIP許可リストをディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
IP許可リスト エントリの削除
SNMP許可リスト、Telnet許可リスト、または両方のリストから特定のIPアドレスを削除できます。どの許可リストからIPアドレスを削除するかを指定しない場合は、両方の許可リストからIPアドレスが削除されます。
IP許可リストのエントリを削除するには、イネーブル モードで次の作業を行います。
|
|
|
|
|---|---|---|
clear ip permit { ip_address [ mask ] | all } [ telnet | snmp | ssh ] |
||
フィードバック