この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
アクセス コントロール リスト(ACL)とは、トラフィックのフィルタリングに使用する順序付きのルール セットのことです。各ルールには、パケットがルールに一致するために満たさなければならない条件のセットが規定されています。スイッチは、あるパケットに対してある ACL を適用するかどうかを判断するとき、そのパケットを ACL 内のすべてのルールの条件に対してテストします。一致する条件が最初に見つかった時点で、パケットを許可するか拒否するかが決まります。一致する条件が見つからないと、スイッチは適用可能なデフォルトのルールを適用します。許可されたパケットについては処理が続行され、拒否されたパケットはドロップされます。
ACL を使用すると、ネットワークおよび特定のホストを、不要なトラフィックや望ましくないトラフィックから保護できます。たとえば、ACL を使用して、厳重にセキュリティ保護されたネットワークからインターネットにハイパー テキスト トランスファ プロトコル(HTTP)トラフィックが流入するのを禁止できます。また、特定のサイトへの HTTP トラフィックだけを許可することもできます。その場合は、サイトの IP アドレスが、IP ACL に指定されているかどうかによって判定します。
Cisco Nexus デバイスは、セキュリティ トラフィック フィルタリング用に、IPv4、IPv6、MAC の各 ACL をサポートしています。スイッチでは、次の表に示すように、ポートの ACL、VLAN ACL、およびルータの ACL として、IP アクセス コントロール リスト(ACL)を使用できます。
アクセス リスト コンフィギュレーション モードでルールを作成するには、permit または deny コマンドを使用します。スイッチは、許可ルールに指定された基準に一致するトラフィックを許可し、拒否ルールに指定された基準に一致するトラフィックをブロックします。ルールに一致するためにトラフィックが満たさなければならない基準を設定するためのオプションが多数用意されています。
各ルールには、ルールに一致するトラフィックの送信元と宛先を指定します。指定する送信元および宛先には、特定のホスト、ホストのネットワークまたはグループ、あるいは任意のホストを使用できます。
IPv4、IPv6、および MAC の ACL では、トラフィックをプロトコルで識別できます。指定の際の手間を省くために、一部のプロトコルは名前で指定できます。たとえば、IPv4 ACL では、ICMP を名前で指定できます。
インターネット プロトコル番号を表す整数でプロトコルを指定できます。たとえば、レイヤ 2 トンネリング プロトコル(L2TP)を指定するには、115 を使用します。
IP ACL および MAC ACL には暗黙ルールがあります。暗黙ルールは、実行コンフィギュレーションには設定されていませんが、ACL 内の他のルールと一致しない場合にスイッチがトラフィックに適用するルールです。
すべての IPv4 ACL には、次の暗黙のルールがあります。
deny ip any any
この暗黙のルールによって、どの条件にも一致しない IP トラフィックは拒否されます。
すべての IPv6 ACL には、次の暗黙のルールがあります。
deny ipv6 any any
追加のオプションを使用してトラフィックを識別できます。IPv4 ACL には、次の追加フィルタリング オプションが用意されています。
レイヤ 4 プロトコル
TCP/UDP ポート
ICMP タイプおよびコード
IGMP タイプ
優先レベル
DiffServ コード ポイント(DSCP)値
ACK、FIN、PSH、RST、SYN、または URG ビットがセットされた TCP パケット
確立済み TCP 接続
Cisco Nexus デバイスはルールのシーケンス番号をサポートします。入力するすべてのルールにシーケンス番号が割り当てられます(ユーザによる割り当てまたはデバイスによる自動割り当て)。シーケンス番号によって、次の ACL 設定作業が容易になります。
既存のルールの間に新規のルールを追加する:シーケンス番号を指定することによって、ACL 内での新規ルールの挿入場所を指定します。たとえば、ルール番号 100 と 110 の間に新しいルールを挿入する必要がある場合は、シーケンス番号 105 を新しいルールに割り当てます。
ルールを削除する:シーケンス番号を使用しない場合は、ルールを削除するのに、次のようにルール全体を入力する必要があります。
switch(config-acl)# no permit tcp 10.0.0.0/8 any
このルールに 101 番のシーケンス番号が付いていれば、次コマンドだけでルールを削除できます。
switch(config-acl)# no 101
ルールを移動する:シーケンス番号を使用すれば、同じ ACL 内の異なる場所にルールを移動する必要がある場合に、そのルールのコピーをシーケンス番号で正しい位置に挿入してから、元のルールを削除できます。この方法により、トラフィックを中断せずにルールを移動できます。
シーケンス番号を使用せずにルールを入力すると、デバイスはそのルールを ACL の最後に追加し、そのルールの直前のルールのシーケンス番号よりも 10 大きい番号を割り当てます。たとえば、ACL 内の最後のルールのシーケンス番号が 225 で、シーケンス番号を指定せずにルールを追加した場合、デバイスはその新しいルールにシーケンス番号 235 を割り当てます。
また、デバイスでは、ACL 内ルールのシーケンス番号を再割り当てすることができます。シーケンス番号の再割り当ては、ACL 内に、100、101 のように連続するシーケンス番号のルールがある場合、それらのルールの間に 1 つ以上のルールを挿入する必要があるときに便利です。
TCP および UDP トラフィックの IP ACL ルールでは、論理演算子を使用して、ポート番号に基づきトラフィックをフィルタリングできます。
Cisco Nexus デバイスは、演算子とオペランドの組み合わせを論理演算ユニット(LOU)というレジスタ内に格納し、IP ACL で指定された TCP および UDP ポート上で演算(より大きい、より小さい、等しくない、包含範囲)を行います。
(注) | range 演算子は境界値も含みます。 |
これらの LOU は、これらの演算を行うために必要な Ternary Content Addressable Memory(TCAM)エントリ数を最小限に抑えます。最大で 2 つの LOU を、インターフェイスの各機能で使用できます。たとえば入力 RACL で 2 つの LOU を使用し、QoS 機能で 2 つの LOU を使用できます。ACL 機能で 2 つより多くの算術演算が必要な場合、最初の 2 つの演算が LOU を使用し、残りのアクセス コントロール エントリ(ACE)は展開されます。
デバイスが演算子とオペランドの組み合わせを LOU に格納するかどうかの判断基準を次に示します。
演算子またはオペランドが、他のルールで使用されている演算子とオペランドの組み合わせと異なる場合、この組み合わせは LOU に格納されます。
たとえば、演算子とオペランドの組み合わせ「gt 10」と「gt 11」は、別々に LOU の半分に格納されます。「gt 10」と「lt 10」も別々に格納されます。
演算子とオペランドの組み合わせがルール内の送信元ポートと宛先ポートのうちどちらに適用されるかは、LOU の使用方法に影響を与えます。同じ組み合わせの一方が送信元ポートに、他方が宛先ポートに別々に適用される場合は、2 つの同じ組み合わせが別々に格納されます。
たとえば、あるルールによって、演算子とオペランドの組み合わせ「gt 10」が送信元ポートに、別のルールによって同じ組み合わせ「gt 10」が宛先ポートに適用される場合、両方の組み合わせが LOU の半分に格納され、結果として 1 つの LOU 全体が使用されることになります。このため、「gt 10」を使用するルールが追加されても、これ以上 LOU は使用されません。
ACL を設定する場合は、ACL の容量を理解しておくとリソース競合や枯渇を回避するのに役立ちます。プラットフォームは、ソフトウェアではなくハードウェアで複数のタイプの ACL を適用するため、スイッチはハードウェア ルックアップ テーブルと各種ハードウェア リソースをプログラミングします。これにより、パケットがカットスルー スイッチングされながら、パフォーマンスに影響を与えることなく、スイッチはパケットが到着したときにハードウェア テーブルの検索を実行し、適切なアクションを実行することができます。
一般的な設定の場合、スイッチは次の主なハードウェア リソースの 1 つを使用します。
Value Mask Result(VMR):値パターン、関連付けられたマスク値、およびエントリのヒットを返す検索の結果で構成される TCAM のエントリ。
スイッチはレイヤ 4 演算(L4Op)に対してこれらのハードウェア リソースの使用を最適化します。L4Op が使い果たされた場合、L4Op を使用して特定の値を調べる必要がある ACL は、一連の TCAM のエントリを使用するように拡張できます。ACL は TCAM エントリを使用して、L4Op と同じフィルタリングを実行します。
L4Op が使い果たされていない場合、スイッチは各リソースの使用コストを計算します。一連の拡張された TCAM エントリの使用コストが L4Op を使用する場合よりも小さい場合、スイッチは優先順位の高い演算用に L4Op を保持するために、一連の TCAM エントリを拡張します。
ACL TCAM のサイズと TCAM のさまざまな領域のサイズによっては、拡張されたポリシーが空き領域内に適合しない可能性があります。たとえば、スイッチがリロードされると、以前に拡張されていた一連のポリシーが再度拡張されない場合があります。
この問題に対処するために、しきい値を設定できます。しきい値の範囲は 0 ~ 32 です。デフォルト値は 5 です。ACL ポリシーが L4Op を必要としている場合は、必要な拡張された TCAM エントリの数がしきい値を超えているかどうかを確認するようにポリシーが拡張されます。必要な数がしきい値を超えている場合、拡張は行われずに L4Op が使用されます。TCAM エントリの数がしきい値を超えていない場合(つまりしきい値以下の場合)、拡張された TCAM エントリがインストールされます。
(注) | permit tcp any get 546 any range 236 981 |
このデバイスは IPv4 ACL、IPv6 ACL、および MAC ACL に設定した各ルールのグローバル統計を保持できます。1 つの ACL が複数のインターフェイスに適用される場合、ルール統計には、その ACL が適用されるすべてのインターフェイスと一致する(ヒットする)パケットの合計数が維持されます。
(注) | インターフェイスレベルの ACL 統計はサポートされていません。 |
設定する ACL ごとに、その ACL の統計情報をデバイスが維持するかどうかを指定できます。これにより、ACL によるトラフィック フィルタリングが必要かどうかに応じて ACL 統計のオン、オフを指定できます。また、ACL 設定のトラブルシューティングにも役立ちます。
デバイスには ACL の暗黙ルールの統計情報は維持されません。たとえば、すべての IPv4 ACL の末尾にある暗黙の deny ip any any ルールと一致するパケットのカウントはデバイスに維持されません。暗黙ルールの統計情報を維持する場合は、暗黙ルールと同じルールを指定した ACL を明示的に設定する必要があります。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
ACL を使用するためにライセンスは必要ありません。 |
IP ACL の前提条件は次のとおりです。
VACL の前提条件は次のとおりです。
IP ACL の設定に関する注意事項と制約事項は次のとおりです。
ACL の設定には Session Manager を使用することを推奨します。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。この機能は、約 1,000 以上のルールが含まれている ACL に対して特に有効です。
時間範囲を使用する ACL を適用すると、デバイスは、その ACL エントリで参照される時間範囲の開始時または終了時に ACL エントリを更新します。時間範囲によって開始されるアップデートはベストエフォート型のプライオリティで実行されます。時間範囲によってアップデートが生じたときにデバイスの処理負荷が非常に高い場合、デバイスはアップデートを最大数秒間遅らせることがあります。
IP ACL を VLAN インターフェイスに適用するためには、VLAN インターフェイスをグローバルにイネーブル化する必要があります。
MAC ACL の設定に関する注意事項と制約事項は次のとおりです。
MAC ACL は入トラフィックだけに適用されます。
DHCP スヌーピング機能がイネーブルのときには、ACL の統計情報はサポートされません。
VACL の設定に関する注意事項と制約事項は次のとおりです。
ACL の設定には Session Manager を使用することを推奨します。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。
DHCP スヌーピング機能がイネーブルのときには、ACL の統計情報はサポートされません。
同じシーケンス番号で ACL に一致するために定義されたアプリケーションのシーケンスはありません。一致ステートメントの限定的なシーケンスについては、異なるシーケンス番号を使用します。
MAC、IP、IPv6 のような異なるタイプの ACL を使用している場合は、最後にデフォルトの deny コマンドを設定する必要があります。次に例を示します。
switch(config)# ip access-list drop_ip switch(config-acl)# deny ip any any switch(config)# mac access-list drop_mac switch(config-acl)# deny any any switch(config)# ipv6 access-list drop_ipv6 switch(config-acl)# deny ipv6 any any switch(config)# vlan access-map abc 10 <match statements> switch(config)# vlan access-map xyz 20 <match statements> . . . . switch(config)# vlan access-map gef 100 switch(config-access-map)# match ip address drop_ip switch(config-access-map)# match mac address drop_mac switch(config-access-map)# match ipv6 address drop_ipv6
次の表は、IP ACL パラメータのデフォルト設定をリスト表示しています。
パラメータ(Parameters) |
デフォルト |
---|---|
IP ACL |
デフォルトの IP ACL は存在しません。 |
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
次の表は、MAC ACL パラメータのデフォルト設定をリスト表示しています。
パラメータ(Parameters) |
デフォルト |
---|---|
MAC ACL |
デフォルトの MAC ACL は存在しません。 |
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
次の表に、VACL パラメータのデフォルト設定を示します。
パラメータ(Parameters) |
デフォルト |
---|---|
VACL |
デフォルトの IP ACL は存在しません。 |
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
IP ACL の設定
スイッチに IPv4 または IPv6 の ACL を作成し、それにルールを追加することができます。
次に、IPv4 ACL を作成する例を示します。
switch# configure terminal switch(config)# ip access-list acl-01 switch(config-acl)# permit ip 192.168.2.0/24 any switch(config-acl)# statistics
次に、IPv6 ACL を作成する例を示します。
switch# configure terminal switch(config)# ipv6 access-list acl-01-ipv6 switch(config-ipv6-acl)# permit tcp 2001:0db8:85a3::/48 2001:0db8:be03:2112::/64
既存の IPv4 または IPv6 ACL のルールを追加および削除できます。既存のルールは変更できません。ルールを変更するには、そのルールを削除してから、変更を加えたルールを再作成します。
既存のルールの間に新しいルールを挿入する必要がある場合で、現在のシーケンス番号の空き状況ではすべてを挿入できないときは、resequence コマンドを使用してシーケンス番号を再割り当てします。
スイッチから IP ACL を削除できます。
スイッチから IP ACL を削除する前に、ACL がインターフェイスに適用されているかどうかを確認してください。削除できるのは、現在適用されている ACL だけです。ACL を削除しても、その ACL が適用されていたインターフェイスの設定は影響を受けません。スイッチは、削除対象の ACL が空であると見なします。
IP ACL 内のルールに付けられたすべてのシーケンス番号を変更できます。
特定のプロトコルとアドレスのトラフィックをログに記録するためのアクセス コントロール リストを作成できます。
switch# configuration terminal switch(config)# ip access-list tcp_log switch(config-acl)# permit tcp any any log switch(config-acl)# exit switch(config)# copy running-config startup-config
管理インターフェイス(mgmt0)に IPv4 ACL または IPv6 ACL を適用できます。
適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。
関連項目
IPv4 または IPv6 ACL は、次のタイプのインターフェイスに適用できます。
物理層 3 インターフェイスおよびサブインターフェイス
レイヤ 3 イーサネット ポート チャネル インターフェイスおよびサブインターフェイス
VLAN インターフェイス
トンネル
管理インターフェイス
これらのインターフェイス タイプに適用された ACL はルータ ACL と見なされます。
適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。
IPv4 または IPv6 ACL は、物理イーサネット インターフェイスまたはポート チャネルに適用できます。これらのインターフェイス タイプに適用された ACL は、ポート ACL と見なされます。
(注) | 一部の設定パラメータは、ポート チャネルに適用されていると、メンバ ポートの設定に反映されません。 |
IP ACL の情報を表示するには、次のいずれかの作業を行います。
コマンド | 目的 |
---|---|
show running-config |
ACL の設定(IP ACL の設定と IP ACL が適用されるインターフェイス)を表示します。 |
show running-config interface |
ACL が適用されたインターフェイスの設定を表示します。 |
これらのコマンドの出力フィールドの詳細については、ご使用の Cisco Nexus デバイスの『Command Reference』を参照してください。
コマンドまたはアクション | 目的 |
---|---|
show {ip | ipv6} access-listsname |
IP ACL の設定を表示します。IP ACL に statistics コマンドが指定されている場合は、show ip access-lists コマンドおよび show ipv6 access-list コマンドの出力に、各ルールに一致したパケットの数が表示されます。 |
show ip access-listsname |
IP ACL の設定を表示します。IP ACL に statistics コマンドが指定されている場合は、show ip access-lists コマンドの出力に、各ルールに一致したパケットの数が表示されます。 |
clear {ip | ipv6} access-list counters [access-list-name] |
すべての IP ACL、または特定の IP ACL の統計情報を消去します。 |
clear ip access-list counters [access-list-name] |
すべての IP ACL、または特定の IP ACL の統計情報を消去します。 |
MAC ACL の設定
次に、MAC ACL を作成して、ルールを追加する例を示します。
switch# configure terminal switch(config)# mac access-list acl-mac-01 switch(config-mac-acl)# permit 00c0.4f00.0000 0000.00ff.ffff any switch(config-mac-acl)# statistics
既存の MAC ACL 内で、ルールの追加または削除を実行できます。既存のルールは変更できません。ルールを変更するには、そのルールを削除してから、変更を加えたルールを再作成します。
既存のルールの間に新しいルールを挿入する必要がある場合で、現在のシーケンス番号の空き状況ではすべてを挿入できないときは、resequence コマンドを使用してシーケンス番号を再割り当てします。
次に、MAC ACL を変更する例を示します。
switch# configure terminal
switch(config)# mac access-list acl-mac-01
switch(config-mac-acl)# 100 permit mac 00c0.4f00.00 0000.00ff.ffff any
switch(config-mac-acl)# statistics
スイッチから MAC ACL を削除できます。
ACL がインターフェイスに適用されているかどうかを確認してください。削除できるのは、現在適用されている ACL だけです。ACL を削除しても、その ACL が適用されていたインターフェイスの設定は影響を受けません。スイッチは、削除対象の ACL が空であると見なします。
MAC ACL 内のルールに付けられたすべてのシーケンス番号を変更できます。ACL にルールを挿入する必要がある場合で、シーケンス番号が不足しているときは、再割り当てすると便利です。
MAC ACL をポート ACL として、次のいずれかのインターフェイス タイプに適用できます。
適用する ACL が存在しており、この適用で要求されているとおりにトラフィックをフィルタリングするように設定されていることを確認してください。
(注) | 一部の設定パラメータは、EtherChannel に適用されていると、メンバ ポートの設定に反映されません。 |
MAC ACL の情報を表示するには、次のいずれかの作業を行います。
コマンド | 目的 |
---|---|
show mac access-lists |
MAC ACL の設定を表示します。 |
show running-config |
ACL の設定(MAC ACL と MAC ACL が適用されるインターフェイス)を表示します。 |
show running-config interface |
ACL を適用したインターフェイスの設定を表示します。 |
MAC ACL 統計情報を表示および消去するには、次のいずれかの作業を行います。
コマンド | 目的 |
---|---|
show mac access-lists |
MAC ACL の設定を表示します。MAC ACLに statistics コマンドが指定されている場合は、show mac access-lists コマンドの出力に、各ルールに一致したパケットの数が表示されます。 |
clear mac access-list counters |
すべての MAC ACL、または特定の MAC ACL の統計情報を消去します。 |
次に、acl-mac-01 という名前の MAC ACL を作成して、Ethernet インターフェイス 1/1 に適用する例を示します。
switch# configure terminal
switch(config)# mac access-list acl-mac-01
switch(config-mac-acl)# permit 00c0.4f00.0000 0000.00ff.ffff any
switch(config-mac-acl)# exit
switch(config)# interface ethernet 1/1
switch(config-if)# mac access-group acl-mac-01
VLAN ACL(VACL)は、MAC ACL または IP ACL の適用例の 1 つです。VACL を設定して、VLAN 内でブリッジされているすべてのパケットに適用できます。VACL は、セキュリティ パケットのフィルタリングだけに使用します。VACL は方向(入力または出力)で定義されることはありません。
VACL では、アクセス マップを使用して、IP ACL または MAC ACL をアクションとリンクさせます。スイッチは、VACL で許可されているパケットに対して、設定済みのアクションを実行します。
Cisco NX-OS リリース 7.2(1)N1(1) 以降では、シーケンス番号の割り当てによって VLAN アクセス マップの複数のインスタンスを設定できます。このとき、VLAN アクセス マップのより小さいシーケンス番号が優先されます。また、複数のアクセス マップに ACL を指定できます。
アクセス マップ コンフィギュレーション モードでは、action コマンドを使用して、次のいずれかのアクションを指定します。
Cisco Nexus デバイスは、VACL 内の各ルールについて、グローバルな統計情報を保持できます。VACL を複数の VLAN に適用した場合、保持されるルール統計情報は、その VACL が適用されている各インターフェイス上で一致(ヒット)したパケットの総数になります。
(注) | Cisco Nexus デバイスは、インターフェイス単位の VACL 統計情報はサポートしていません。 |
設定する各 VLAN アクセス マップごとに、VACL の統計情報をスイッチ内に保持するかどうかを指定できます。これにより、VACL によってフィルタリングされたトラフィックをモニタリングするため、あるいは VLAN アクセス マップの設定のトラブルシューティングを行うために、VACL 統計情報の収集のオン/オフを必要に応じて切り替えることができます。
VACL の設定
VACL を作成または変更できます。VACL の作成には、IP ACL または MAC ACL を、一致したトラフィックに適用するアクションとアソシエートさせるアクセス マップの作成が含まれます。
VACL を削除できます。これにより、VLAN アクセス マップも削除されます。
VACL が VLAN に適用されているかどうかを確認してください。削除できるのは、現在適用されている VACL だけです。VACL を削除しても、その VACL が適用されていた VLAN の設定は影響を受けません。スイッチは、削除対象の VACL が空であると見なします。
VACL を VLAN に適用できます。
VACL 設定情報を表示するには、次のいずれかの作業を実行します。
コマンド | 目的 |
---|---|
show running-config aclmgr |
VACL 関連の設定を含む、ACL の設定を表示します。 |
show vlan filter |
VLAN に適用されている VACL の情報を表示します。 |
show vlan access-map |
VLAN アクセス マップに関する情報を表示します。 |
VACL 統計情報を表示または消去するには、次のいずれかの作業を実行します。
コマンド | 目的 |
---|---|
show vlan access-list |
VACL の設定を表示します。VLAN アクセス マップに statistics コマンドが指定されている場合は、show vlan access-list コマンドの出力に、各ルールに一致したパケットの数が表示されます。 |
clear vlan access-list counters |
すべての VACL、または特定の VACL の統計情報を消去します。 |
次に、acl-ip-01 という名前の IP ACL によって許可されたトラフィックを転送するように VACL を設定し、その VACL を VLAN 50 ~ 82 に適用する例を示します。
switch# configure terminal
switch(config)# vlan access-map acl-ip-map
switch(config-access-map)# match ip address acl-ip-01
switch(config-access-map)# action forward
switch(config-access-map)# exit
switch(config)# vlan filter acl-ip-map vlan-list 50-82
仮想端末(VTY)回線とアクセス リストのアドレス間の IPv4 または IPv6 の着信接続と発信接続を制限するには、ライン コンフィギュレーション モードで access-class コマンドを使用します。アクセス制限を解除するには、このコマンドの no 形式を使用します。
VTY 回線で ACL を設定する場合には、次のガイドラインに従ってください。
適用する ACL が存在しており、この適用に対してトラフィックをフィルタリングするように設定されていることを確認してください。
次に、VTY 回線の in 方向に access-class ozi2 のコマンドを適用する例を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# line vty switch(config-line)# access-class ozi2 in switch(config-line)# exit switch#
VTY 回線の ACL 設定を表示するには、次のいずれかの作業を行います。
コマンド | 目的 |
---|---|
show running-config aclmgr | スイッチで設定された ACL の実行コンフィギュレーションを表示します。 |
show users | 接続されているユーザを表示します。 |
show access-lists access-list-name | エントリ単位の統計情報を表示します。 |
次に、コンソール回線(ttyS0)および VTY 回線(pts/0 および pts/1)の接続ユーザの例を示します。
switch# show users NAME LINE TIME IDLE PID COMMENT admin ttyS0 Aug 27 20:45 . 14425 * admin pts/0 Aug 27 20:06 00:46 14176 (172.18.217.82) session=ssh admin pts/1 Aug 27 20:52 . 14584 (10.55.144.118)
次に、172.18.217.82 を除き、すべての IPv4 ホストへの VTY 接続を許可する例と、10.55.144.118、172.18.217.79、172.18.217.82、172.18.217.92 を除き、すべての IPv4 ホストへの VTY 接続を拒否する例を示します。
ipv6 access-list ozi7 コマンドを VTY 回線の in 方向に適用すると、すべての IPv6 ホストへの VTY 接続が拒否されます。
ipv6 access-list ozip6 コマンドを VTY 回線の out 方向に適用すると、すべての IPv6 ホストへの VTY 接続が許可されます。
switch# show running-config aclmgr !Time: Fri Aug 27 22:01:09 2010 version 5.0(2)N1(1) ip access-list ozi 10 deny ip 172.18.217.82/32 any 20 permit ip any any ip access-list ozi2 10 permit ip 10.55.144.118/32 any 20 permit ip 172.18.217.79/32 any 30 permit ip 172.18.217.82/32 any 40 permit ip 172.18.217.92/32 any ipv6 access-list ozi7 10 deny tcp any any ipv6 access-list ozip6 10 permit tcp any any line vty access-class ozi in access-class ozi2 out ipv6 access-class ozi7 in ipv6 access-class ozip6 out
次に、ACL のエントリ単位の統計情報をイネーブルにして、IP アクセス リストを設定する例を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# ip access-list ozi2 switch(config-acl)# statistics per-entry switch(config-acl)# deny tcp 172.18.217.83/32 any switch(config-acl)# exit switch(config)# ip access-list ozi switch(config-acl)# statistics per-entry switch(config-acl)# permit ip 172.18.217.20/24 any switch(config-acl)# exit switch#
次に、in および out 方向で VTY の ACL を適用する例を示します。
switch(config)# line vty switch(config-line)# ip access-class ozi in switch(config-line)# access-class ozi2 out switch(config-line)# exit switch#
次に、VTY 回線でアクセス制限を削除する例を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# line vty switch(config-line)# no access-class ozi2 in switch(config-line)# no ip access-class ozi2 in switch(config-line)# exit switch#
論理演算ユニット(LOU)数のしきい値を設定できます。
コマンドまたはアクション | 目的 |
---|
switch# configuration terminal switch(config)# hardware access-list lou resource threshold 15