この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco NX-OS デバイスの IP アクセス コントロール リスト(ACL)を設定する方法について説明します。
特に指定がなければ、IP ACL は IPv4 および IPv6 の ACL を意味します。
この章は、次の項で構成されています。
ACL とは、トラフィックのフィルタリングに使用する順序付きのルール セットのことです。各ルールには、パケットがルールに一致するために満たさなければならない条件のセットが規定されています。デバイスは、ある ACL がパケットに適用されると判断すると、そのすべてのルールの条件にパケットを照合し、テストします。最初に一致したルールで、そのパケットが許可されるか拒否されるかが決定されます。一致するものがなければ、デバイスは適用可能な暗黙のルールを適用します。デバイスは、許可されたパケットの処理を続行し、拒否されたパケットはドロップします。
ACL を使用すると、ネットワークおよび特定のホストを、不要なトラフィックや望ましくないトラフィックから保護できます。たとえば、ACL を使用して、厳重にセキュリティ保護されたネットワークからインターネットにハイパー テキスト トランスファ プロトコル(HTTP)トラフィックが流入するのを禁止できます。また、特定のサイトへの HTTP トラフィックだけを許可することもできます。その場合は、サイトの IP アドレスが、IP ACL に指定されているかどうかによって判定します。
セキュリティ トラフィック フィルタリングには次のタイプの ACL を使用できます。
IP ACL および MAC ACL には次のタイプの適用例があります。
デバイスは、パケットを処理する際に、そのパケットの転送パスを決定します。デバイスがトラフィックに適用する ACL はパスによって決まります。デバイスは、次の順序で ACL を適用します。
パケットが入力 VLAN 内でブリッジされる場合、ルータ ACL は適用されません。
次の図に、ACL のタイプに応じた ACL の適用場所を示します。赤いパスは送信元とは異なるインターフェイス上の宛先に送信されるパケットを表しています。青いパスは同じ VLAN 内でブリッジされるパケットを表しています。
デバイスは適用可能な ACL だけを適用します。たとえば、入力ポートがレイヤ 2 ポートの場合、VLAN インターフェイスである VLAN 上のトラフィックには、ポート ACL とルータ ACL が両方とも適用される可能性があります。さらに、その VLAN に VACL が適用される場合、デバイスはその VACL も適用します。
ACL によるネットワーク トラフィックのフィルタリング方法を設定する際に、何を作成、変更、削除するかを決めるのがルールです。ルールは実行コンフィギュレーション内に表示されます。ACL をインターフェイスに適用するか、またはインターフェイスにすでに適用されている ACL 内のルールを変更すると、スーパーバイザ モジュールは実行コンフィギュレーション内のルールから ACL のエントリを作成し、それらの ACL エントリを適用可能な I/O モジュールに送信します。ACL の設定によっては、ルールよりも ACL エントリの方が数が多くなることがあります。特に、ルールを設定するときにオブジェクト グループを使用してポリシーベース ACL を実装する場合などです。
アクセス リスト コンフィギュレーション モードでルールを作成するには、permit または deny コマンドを使用します。デバイスは、許可ルール内の基準と一致するトラフィックを許可し、拒否ルール内の基準と一致するトラフィックをブロックします。ルールに一致するためにトラフィックが満たさなければならない基準を設定するためのオプションが多数用意されています。
ここでは、ルールを設定する際に使用できるオプションをいくつか紹介します。
IPv4、IPv6、および MAC の ACL では、トラフィックをプロトコルで識別できます。指定の際の手間を省くために、一部のプロトコルは名前で指定できます。たとえば、IPv4 または IPv6 の ACL では、ICMP を名前で指定できます。
プロトコルはすべて番号で指定できます。MAC ACL では、プロトコルをそのプロトコルの EtherType 番号(16 進数)で指定できます。たとえば、MAC ACL ルールの IP トラフィックの指定に 0x0800 を使用できます。
IPv4 および IPv6 ACL では、インターネット プロトコル番号を表す整数でプロトコルを指定できます。
各ルールには、ルールに一致するトラフィックの送信元と宛先を指定します。指定する送信元および宛先には、特定のホスト、ホストのネットワークまたはグループ、あるいは任意のホストを使用できます。送信元と宛先の指定方法は、IPv4 ACL、IPv6 ACL、MAC ACL のどの ACL を設定するのかによって異なります。
IP ACL および MAC ACL には暗黙ルールがあります。暗黙ルールは、実行コンフィギュレーションには設定されていませんが、ACL 内の他のルールと一致しない場合にデバイスがトラフィックに適用するルールです。ACL のルール単位の統計情報を維持するようにデバイスを設定した場合、暗黙ルールの統計情報はデバイスに維持されません。
すべての IPv4 ACL には、次の暗黙のルールがあります。
deny ip any any
この暗黙ルールによって、デバイスは不一致 IP トラフィックを確実に拒否します。
すべての IPv6 ACL には、次の暗黙のルールがあります。
deny ipv6 any any
この暗黙ルールによって、デバイスは不一致 IPv6 トラフィックを確実に拒否します。
(注) | IPv6 の nd-na、nd-ns、router-advertisement、router-solicitation パケットは、IPv6 ACL の暗黙の許可ルールとしては使用できません。明示的に許可するには、次の規則を追加する必要があります。
|
すべての MAC ACL には、次の暗黙のルールがあります。
deny any any protocol
この暗黙ルールによって、デバイスは、トラフィックのレイヤ 2 ヘッダーに指定されているプロトコルに関係なく、不一致トラフィックを確実に拒否します。
追加のオプションを使用してトラフィックを識別できます。これらのオプションは、ACL のタイプによって異なります。次のリストには、ほとんどの追加フィルタリング オプションが含まれていますが、すべてを網羅しているわけではありません。
デバイスはルールのシーケンス番号をサポートしています。入力するすべてのルールにシーケンス番号が割り当てられます(ユーザによる割り当てまたはデバイスによる自動割り当て)。シーケンス番号によって、次の ACL 設定作業が容易になります。
シーケンス番号を指定することによって、ACL 内での新規ルールの挿入場所を指定します。たとえば、ルール番号 100 と 110 の間に新しいルールを挿入する必要がある場合は、シーケンス番号 105 を新しいルールに割り当てます。
シーケンス番号を使用しない場合は、ルールを削除するために、次のようにルール全体を入力する必要があります。
switch(config-acl)# no permit tcp 10.0.0.0/8 any
このルールに 101 番のシーケンス番号が付いていれば、次コマンドだけでルールを削除できます。
switch(config-acl)# no 101
シーケンス番号を使用すれば、同じ ACL 内の異なる場所にルールを移動する必要がある場合に、そのルールのコピーをシーケンス番号で正しい位置に挿入してから、元のルールを削除できます。この方法により、トラフィックを中断せずにルールを移動できます。
シーケンス番号を使用せずにルールを入力すると、デバイスはそのルールを ACL の最後に追加し、そのルールの直前のルールのシーケンス番号よりも 10 大きい番号を割り当てます。たとえば、ACL 内の最後のルールのシーケンス番号が 225 で、シーケンス番号を指定せずにルールを追加した場合、デバイスはその新しいルールにシーケンス番号 235 を割り当てます。
また、Cisco NX-OS では、ACL 内ルールのシーケンス番号を再割り当てできます。シーケンス番号の再割り当ては、ACL 内に、100、101 のように連続するシーケンス番号のルールがある場合、それらのルールの間に 1 つ以上のルールを挿入する必要があるときに便利です。
TCP および UDP トラフィックの IP ACL ルールでは、論理演算子を使用して、ポート番号に基づきトラフィックをフィルタリングできます。Cisco NX-OS では、入力方向でのみ論理演算子をサポートします。
このデバイスは、論理演算ユニット(LOU)というレジスタに、演算子とオペランドの組み合わせを格納します。各タイプの演算子は、次のように LOU を使用します。
IPv4 ACL ロギング機能は、IPv4 ACL のフローをモニタし、統計情報をログに記録します。
フローは、送信元インターフェイス、プロトコル、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート値によって定義されます。フローの統計情報には、転送されたパケット(ACL エントリの許可条件に一致する各フロー)およびドロップされたパケット(ACL エントリの拒否条件に一致する各フロー)の数が含まれます。
時間範囲を使用して、ACL ルールが有効になる時期を制御できます。たとえば、インターフェイスに着信するトラフィックに特定の ACL を適用するとデバイスが判断し、その ACL のあるルールの時間範囲が有効になっていない場合、デバイスは、トラフィックをそのルールと照合しません。デバイスは、そのデバイスのクロックに基づいて時間範囲を評価します。
時間範囲を使用する ACL を適用すると、デバイスはその ACL で参照される時間範囲の開始時または終了時に影響する I/O モジュールをアップデートします。時間範囲によって開始されるアップデートはベストエフォート型のプライオリティで実行されます。時間範囲によってアップデートが生じたときにデバイスの処理負荷が非常に高い場合、デバイスはアップデートを最大数秒間遅らせることがあります。
IPv4、IPv6、および MAC の各 ACL は時間範囲をサポートしています。デバイスがトラフィックに ACL を適用する場合、有効なルールは次のとおりです。
名前が付けられた時間範囲は再利用できます。多くの ACL ルールを設定する場合は、時間範囲を名前で一度設定すれば済みます。時間範囲の名前は最大 64 の英文字で指定します。
時間範囲には、1 つまたは複数のルールで構成されます。これらのルールは次の 2 種類に分類できます。
特定の開始日時、終了日時、その両方を持つルール、またはそのどちらも持たないルール。絶対時間範囲のルールがアクティブかどうかは、開始日時または終了日時の有無によって、次のように決まります。
開始日時と終了日時が両方指定されている:この時間範囲ルールは、現在の時刻が開始日時よりも後で終了日時よりも前の場合にアクティブになります。
開始日時が指定され、終了日時は指定されていない:この時間範囲ルールは、現在の時刻が開始日時よりも後である場合にアクティブになります。
開始日時は指定されず、終了日時が指定されている:この時間範囲ルールは、現在の時刻が終了日時よりも前である場合にアクティブになります。
開始日時も終了日時も指定されていない:この時間範囲ルールは常にアクティブです。
たとえば、新しいサブネットへのアクセスを許可するようにネットワークを設定する場合、そのサブネットをオンラインにする予定日の真夜中からアクセスを許可するような時間範囲を指定し、この時間範囲をそのサブネットに適用する ACL ルールに使用します。デバイスはこのルールを含む ACL を適用する場合、開始日時が過ぎると、この時間範囲を使用するルールの適用を自動的に開始します。
毎週 1 回以上アクティブになるルール。たとえば、定期時間範囲を使用すると、平日の営業時間中だけ、研究室のサブネットにアクセスできるようにすることができます。デバイスは、そのルールを含む ACL が適用されていて、時間範囲がアクティブな場合にだけ、この時間範囲を使用する ACL ルールを自動的に適用します。
(注) | デバイスは、時間範囲内のルールの順序に関係なく、時間範囲がアクティブかどうかを判断します。Cisco NX-OS は、時間範囲を編集できるように時間範囲内にシーケンス番号を入れます。 |
時間範囲には備考を含めることもできます。備考を使用すると、時間範囲にコメントを挿入できます。備考は、最大 100 文字の英数字で指定します。
デバイスは次の方法で時間範囲がアクティブかどうかを判断します。
時間範囲に絶対ルールが 1 つまたは複数含まれている:現在の時刻が 1 つまたは複数の絶対ルールの範囲内であれば、その時間範囲はアクティブです。
時間範囲に定期ルールが 1 つまたは複数含まれている:現在の時刻が 1 つまたは複数の定期ルールの範囲内であれば、その時間範囲はアクティブです。
時間範囲に絶対ルールと定期ルールが両方含まれている:現在の時刻が 1 つまたは複数の絶対ルールと 1 つ以上の定期ルールの範囲内にある場合に、その時間範囲はアクティブです。
時間範囲に絶対ルールと定期ルールが両方含まれている場合、定期ルールがアクティブになるのは、最低 1 つの絶対ルールがアクティブな場合だけです。
デバイスはポリシーベース ACL(PBACL)をサポートしています。PBACL を使用すると、オブジェクト グループ全体にアクセス コントロール ポリシーを適用できます。オブジェクト グループは、IP アドレスのグループまたは TCP ポートもしくは UDP ポートのグループです。ルール作成時に、IP アドレスやポートを指定するのではなく、オブジェクト グループを指定できます。
IPv4 または IPv6 の ACL の設定にオブジェクト グループを使用すると、ルールの送信元または宛先に対してアドレスまたはポートの追加や削除を行う場合に、ACL を簡単にアップデートできます。たとえば、3 つのルールが同じ IP アドレス グループ オブジェクトを参照している場合は、3 つのすべてのルールを変更しなくても、オブジェクトに IP アドレスを追加すれば済みます。
PBACL を使用しても、インターフェイスに ACL を適用する際にその ACL が必要とするリソースは減りません。PBACL の適用時、またはすでに適用されている PBACL のアップデート時には、デバイスはオブジェクト グループを参照する各ルールを展開し、グループ内の各オブジェクトと ACL エントリが 1 対 1 になるようにします。あるルールに、送信元と宛先が両方ともオブジェクト グループとして指定されている場合、この PBACL を適用する際に I/O モジュールに作成される ACL エントリの数は、送信元グループ内のオブジェクト数に宛先グループ内のオブジェクト数をかけた値になります。
ポート、ルータ、ポリシーベース ルーティング(PBR)、VLAN の ACL には、次のオブジェクト グループ タイプが適用されます。
IPv4 ACL ルールで送信元または宛先アドレスの指定に使用できます。permit コマンドまたは deny コマンドを使用してルールを設定する際に、addrgroup キーワードを使用すると、送信元または宛先のオブジェクト グループを指定できます。
IPv6 ACL ルールで送信元または宛先アドレスの指定に使用できます。permit コマンドまたは deny コマンドを使用してルールを設定する際に、addrgroup キーワードを使用すると、送信元または宛先のオブジェクト グループを指定できます。
IPv4 および IPv6 の TCP および UDP ルールで送信元または宛先のポートの指定に使用できます。permit コマンドまたは deny コマンドを使用してルールを設定する際に、portgroup キーワードを使用すると、送信元または宛先のオブジェクト グループを指定できます。
(注) | ポリシーベース ルーティング(PBR)ACL は、アクセス コントロール エントリ(ACE)の拒否または deny コマンドによるルール設定をサポートしません。 |
このデバイスは IPv4、IPv6、および MAC の ACL に設定した各ルールのグローバル統計を保持できます。1 つの ACL が複数のインターフェイスに適用される場合、ルール統計には、その ACL が適用されるすべてのインターフェイスと一致する(ヒットする)パケットの合計数が維持されます。
(注) | インターフェイスレベルの ACL 統計はサポートされていません。 |
設定する ACL ごとに、その ACL の統計情報をデバイスが維持するかどうかを指定できます。これにより、ACL によるトラフィック フィルタリングが必要かどうかに応じて ACL 統計のオン、オフを指定できます。また、ACL 設定のトラブルシューティングにも役立ちます。
デバイスには ACL の暗黙ルールの統計情報は維持されません。たとえば、すべての IPv4 ACL の末尾にある暗黙の deny ip any any ルールと一致するパケットのカウントはデバイスに維持されません。暗黙ルールの統計情報を維持する場合は、暗黙ルールと同じルールを指定した ACL を明示的に設定する必要があります。
デフォルトでは、Cisco Nexus 9000 シリーズのデバイスのスーパーバイザ モジュールで、ACL の変更を I/O モジュールにアップデートする際には、Atomic ACL のアップデートを実行します。Atomic アップデートでは、アップデートされる ACL が適用されるトラフィックを中断させることがありません。しかし、Atomic アップデートでは、ACL のアップデートを受け取る I/O モジュールに、関係する ACL の既存のすべてのエントリに加えて、アップデートされた ACL エントリを保存するのに十分なリソースがあることが必要です。アップデートが行われた後、アップデートに使用されたリソースは開放されます。I/O モジュールに十分なリソースがない場合は、デバイスからエラー メッセージが出力され、この I/O モジュールに対する ACL のアップデートは失敗します。
I/O モジュールに Atomic アップデートに必要なリソースがない場合は、no hardware access-list update atomic コマンドを使用して Atomic アップデートをディセーブルにすることができますが、デバイスで既存の ACL を削除して、アップデートされた ACL を適用するには、多少の時間がかかります。ACL が適用されるトラフィックは、デフォルトでドロップされます。
ACL が適用されるすべてのトラフィックを許可し、同時に非 Atomic アップデートを受信するようにするには、hardware access-list update default-result permit コマンドを使用してください。
次の例では、ACL に対する Atomic アップデートをディセーブルにする方法を示します。
switch# config t switch(config)# no hardware access-list update atomic
次の例では、非 Atomic ACL アップデートの際に、関連するトラフィックを許可する方法を示します。
switch# config t switch(config)# hardware access-list update default-result permit
次の例では、Atomic アップデート方式に戻る方法を示します。
switch# config t switch(config)# no hardware access-list update default-result permit switch(config)# hardware access-list update atomic
Session Manager は IP ACL および MAC ACL の設定をサポートしています。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。
ハードウェアの ACL Ternary Content Addressable Memory(TCAM)リージョンのサイズを変更できます。
Cisco Nexus 9300 と 9500 シリーズ スイッチおよび、Cisco Nexus 3164Q、31128PQ、3232C、および 3264Q スイッチの場合、出力 TCAM のサイズは 1K で、4 つの 256 エントリに分割されています。Cisco Nexus NFE2 対応デバイス(Cisco Nexus 3232C や 3264Q スイッチなど)の場合、入力 TCAM のサイズは 6K で、12 の 512 スライスに分割されています。3 つのスライスが 1 つのグループにされます。他の Cisco Nexus 9300 と 9500 シリーズ スイッチおよび 3164Q と 31128PQ の場合、入力 TCAM のサイズは 4K で、8 つの 256 スライスと 4 つの 512 スライスに分割されています。各スライスが、割り当てユニットになります。1 つのスライスを割り当てることができるのは 1 つのリージョンだけです。たとえば、1 つのサイズ 512 のスライスを使用してサイズ 256 の機能を 2 つ設定することはできません。同様に、1 つのサイズ 256 のスライスを使用してサイズ 128 の機能を 2 つ設定することはできません。IPv4 TCAM リージョンはシングル幅です。IPv6、QoS、MAC、CoPP およびシステム TCAM リージョンはダブル幅であり、物理 TCAM エントリの 2 倍を消費します。たとえば、サイズ 256 の論理リージョン エントリが実際に消費する物理 TCAM エントリは 512 です。
IPv6、ポート ACL、VLAN ACL、およびルータ ACL を作成して、QoS の IPv6 および MAC アドレスを照合できます。ただし、Cisco NX-OS ではすべてを同時にサポートすることはできません。IPv6、MAC、その他の所要の TCAM リージョンをイネーブルにするには、既存の TCAM リージョン(TCAM カービング)を削除するか、サイズを減らす必要があります。個々の TCAM リージョンのコンフィギュレーション コマンドでは、新しい変更結果が TCAM に適合するかが、システムにより評価されます。適合しない場合は、エラーがレポートされ、コマンドは拒否されます。新しい要件に適した領域を確保するには、既存の TCAM リージョンを削除するか、サイズを減らす必要があります。
Cisco Nexus 9200 シリーズ スイッチの場合、出力 TCAM のサイズは 2K で、入力 TCAM のサイズは 4K です。TCAM スライスおよび、シングル幅とダブル幅の概念は、これらのスイッチには適用されません。たとえば、ing-ifacl リージョンは、IPv4、IPv6、または MAC タイプのエントリをホストできます。IPv4 および MAC タイプが 1 つの TCAM エントリを占めるのに対して、IPv6 タイプは 2 つの TCAM エントリを占めます。
ACL TCAM リージョン サイズには、次の注意事項と制約事項があります。
Cisco Nexus 9200 シリーズ スイッチの場合、ing-sup リージョンは 512 エントリの最小サイズを占め、egr-sup リージョンは 256 エントリの最小サイズを占めます。これらのリージョンをより小さい値に設定することはできません。リージョン サイズのカービングは 256 エントリの倍数でのみ行えます(スパン リージョンは例外で、512 エントリの倍数でのカービングのみが可能です)。
次の表に、特定機能を動作させるために設定が必要なリージョンを示します。リージョンのサイズは、各機能のスケール要件に基づいて選択する必要があります。
機能名 |
リージョン名 |
||||
---|---|---|---|---|---|
ポート ACL |
ifacl:IPv4 ポート ACL 用 ing-ifacl:入力 IPv4、IPv6、および MAC ポート ACL 用(Cisco Nexus 9200 シリーズ スイッチのみ) ipv6-ifacl:IPv6 ポート ACL 用 mac-ifacl:MAC ポート ACL 用 |
||||
ポート QoS(レイヤ 2 ポートまたはポート チャネルに適用される QoS 分類ポリシー) |
qos、qos-lite、rp-qos、rp-qos-lite、ns-qos、e-qos、または e-qos-lite:IPv4 パケット分類用 ing-l2-qos:入力レイヤ 2 パケット分類用(Cisco Nexus 9200 シリーズ スイッチのみ) ipv6-qos、rp-ipv6-qos、ns-ipv6-qos、または e-ipv6-qos:IPv6 パケット分類用 mac-qos、rp-mac-qos、ns-mac-qos、または e-mac-qos:非 IP パケット分類用
|
||||
VACL |
vacl:IPv4 パケット用 ipv6-vacl:IPv6 パケット用 mac-vacl:非 IP パケット用 |
||||
VLAN QoS(VLAN に適用される QoS 分類ポリシー) |
vqos または ns-vqos:IPv4 パケット分類用 ipv6-vqos または ns-ipv6-vqos:IPv6 パケット分類用 ing-l3-vlan-qos:入力レイヤ 3、VLAN、および SVI QoS パケット分類用(Cisco Nexus 9200 シリーズ スイッチのみ) mac-vqos または ns-mac-vqos:非 IP パケット分類用
|
||||
RACL |
egr-racl:出力 IPv4 および IPv6 RACL 用(Cisco Nexus 9200 シリーズ スイッチのみ) e-racl:出力 IPv4 RACL 用 e-ipv6-racl:出力 IPv6 RACL 用 ing-racl:入力 IPv4 および IPv6 RACL 用(Cisco Nexus 9200 シリーズ スイッチのみ) racl:IPv4 RACL 用 ipv6-racl:IPv6 RACL 用 |
||||
レイヤ 3 QoS(レイヤ 3 ポートまたはポート チャネルに適用される QoS 分類ポリシー) |
l3qos、l3qos-lite、または ns-l3qos:IPv4 パケット分類用 ipv6-l3qos または ns-ipv6-l3qos:IPv6 パケット分類用
|
||||
VLAN 送信元または VLAN フィルタ SPAN(Cisco Nexus 9500 または 9300 シリーズ スイッチ) 40G ポートの Rx SPAN(Cisco Nexus 9300 シリーズ スイッチのみ) |
span |
||||
SPAN フィルタ |
ifacl:レイヤ 2(スイッチポート)送信元インターフェイスでの IPv4 トラフィック フィルタリング用。 ipv6-ifacl:レイヤ 2(スイッチポート)送信元インターフェイスでの IPv6 トラフィック フィルタリング用。 mac-ifacl:レイヤ 2(スイッチポート)送信元インターフェイスでのレイヤ 2 トラフィック フィルタリング用。 vacl:VLAN 送信元での IPv4 トラフィック フィルタリング用。 ipv6-vacl:VLAN 送信元での IPv6 トラフィック フィルタリング用。 mac-vacl:VLAN 送信元でのレイヤ 2 トラフィック フィルタリング用。 racl:レイヤ 3 インターフェイスでの IPv4 トラフィック フィルタリング用。 ipv6-racl:レイヤ 3 インターフェイスでの IPv6 トラフィック フィルタリング用。 ing-l2-span-filter:入力レイヤ 2 SPAN トラフィック フィルタリング用(Cisco Nexus 9200 シリーズ スイッチのみ) ing-l3-span-filter:入力レイヤ 3 および VLAN SPAN トラフィック フィルタリング用(Cisco Nexus 9200 シリーズ スイッチのみ) |
||||
SVI カウンタ
|
svi |
||||
BFD、DHCP リレー、または DHCPv6 リレー |
redirect
|
||||
CoPP |
copp
|
||||
システム管理型 ACL |
system
|
||||
vPC コンバージェンス
|
vpc-convergence
|
||||
ファブリック エクステンダ(FEX) |
fex-ifacl、fex-ipv6-ifacl、fex-ipv6-qos、fex-mac-ifacl、fex-mac-qos、fex-qos、fex-qos-lite |
||||
ダイナミック ARP インスペクション(DAI) |
arp-ether |
||||
IP ソース ガード(IPSG) |
ipsg |
||||
マルチキャスト PIM Bidir |
mcast_bidir |
||||
スタティック MPLS |
mpls |
||||
ネットワーク アドレス変換(NAT) |
nat |
||||
OpenFlow |
OpenFlow |
||||
sFlow |
sflow |
||||
スーパーバイザ モジュール |
egr-sup:出力スーパーバイザ(Cisco Nexus 9200 シリーズ スイッチのみ) ing-sup:入力スーパーバイザ(Cisco Nexus 9200 シリーズ スイッチのみ) |
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
IP ACL を使用するためにライセンスは必要ありません。ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
IP ACL の前提条件は次のとおりです。
IP ACL の設定に関する注意事項と制約事項は次のとおりです。
ACL の設定には Session Manager を使用することを推奨します。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。この機能は、1,000 以上のルールが含まれている ACL に対して特に有効です。Session Manager の詳細については、『Cisco Nexus 9000 Series NX-OS System Management Configuration Guide』を参照してください。
ほとんどの場合、IP パケットに対する ACL 処理は I/O モジュール上で実行されます。これには、ACL 処理を加速化するハードウェアを使用します。場合によっては、スーパーバイザ モジュールで処理が実行されることもあります。この場合、特に非常に多数のルールが設定されている ACL を処理する際には、処理速度が遅くなることがあります。管理インターフェイス トラフィックは、常にスーパーバイザ モジュールで処理されます。次のカテゴリのいずれかに属する IP パケットがレイヤ 3 インターフェイスから出る場合、これらのパケットはスーパーバイザ モジュールに送られて処理されます。
レイヤ 3 最大伝送単位チェックに失敗し、そのためにフラグメント化を要求しているパケット
IP オプションがある IPv4 パケット(追加された IP パケット ヘッダーのフィールドは、宛先アドレス フィールドの後)
拡張 IPv6 ヘッダー フィールドがある IPv6 パケット
レート制限を行うことで、リダイレクト パケットによってスーパーバイザ モジュールに過剰な負荷がかかるのを回避します。
時間範囲を使用する ACL を適用すると、デバイスは、その ACL エントリで参照される時間範囲の開始時または終了時に ACL エントリを更新します。時間範囲によって開始されるアップデートはベストエフォート型のプライオリティで実行されます。時間範囲によってアップデートが生じたときにデバイスの処理負荷が非常に高い場合、デバイスはアップデートを最大数秒間遅らせることがあります。
IP ACL を VLAN インターフェイスに適用するためには、VLAN インターフェイスをグローバルにイネーブル化する必要があります。VLAN インターフェイスの詳細については、『Cisco Nexus 9000 Series NX-OS Interfaces Configuration Guide』を参照してください。
VTY ACL 機能はすべての VTY 回線のすべてのトラフィックを制限します。異なる VTY 回線に異なるトラフィックの制限を指定できません。どのルータの ACL も VTY ACL として設定できます。
未定義の ACL をインターフェイスに適用すると、システムは空の ACL と見なし、すべてのトラフィックを許可します。
IP トンネルでは、ACL または QoS ポリシーがサポートされません。
VXLAN の ACL には、次のガイドラインが適用されます。
IPv6 ACL のロギングはサポートされません。
出力方向の IPv4 ACL ロギングはサポートされません。
VACL の ACL ロギングはサポートされません。
ACL ロギングは、ip port access-group コマンドによって設定されたポート ACL と、ip access-group コマンドによって設定されたルータ ACL にのみ適用されます。
IPv4 ACL フローの総数は、DoS 攻撃を避けるためにユーザ定義の最大値に限定されます。この制限に到達すると、新しいログは既存のフローが終了するまで作成されません。
IPv4 ACL ロギングによって生成される syslog エントリ数は、ACL ロギング プロセスで設定されたログ レベルによって制限されています。syslog エントリの数がこの制限を超えると、ロギング機能が一部のロギング メッセージをドロップする場合があります。したがって、IPv4 ACL ロギングは課金ツールや ACL との一致数を正確に把握するための情報源として使用しないでください。
レイヤ 3 イーサネット ポート チャネルのサブインターフェイスは、ルータ ACL ではサポートされていません。
出力ルータ ACL は、サブインターフェイスおよび Cisco Nexus 9300 シリーズ スイッチのアップリンク ポートではサポートされていません。
ネットワーク フォワーディング エンジン(NFE)対応スイッチの場合、トンネル インターフェイスの外部ヘッダーで照合される入力 RACL はサポートされません。
複数のインターフェイスに同じ QoS ポリシーと ACL が適用された場合、ラベルが共有されるのは、QoS ポリシーが no-stats オプションで適用されたときだけです。
スイッチ ハードウェアは、出力 TCAM でのレンジ チェック(レイヤ 4 オペレーション)をサポートしません。したがって、レイヤ 4 オペレーション ベースの分類をする ACL および QoS ポリシーは、出力 TCAM での複数エントリに拡張する必要があります。この制限は、出力 TCAM スペースの計画で考慮するようにしてください。
TCAM リソースは次のシナリオで共有されます。
TCAM リソースは、ルーテッド ACL を複数の SVI に出力方向で適用する場合、共有されません。
HTTP メソッドは FEX ポートではサポートされません。
mode tap aggregation コマンドは、MPLS ストリッピングで使用する場合を除き、TAP アグリゲーションで必要とされません。ただし HTTP メソッドは、MPLS パケットのストリップ後はサポートされません。
次の注意事項と制約事項は、Cisco Nexus 9200 シリーズ スイッチに適用されます。
出力 MAC ACL はサポートされません。
トンネルがトラフィックの発信元となっているデバイスでのトンネル インターフェイスの外部ヘッダーでパケットが照合される場合、出力 RACL はインターフェイスでサポートされません。
トンネル インターフェイスの外部ヘッダーで照合される入力 RACL はサポートされません。
IP 長ベースの照合はサポートされません。
すべての ACL ベースの機能を同時に有効にすることはできません。
16 のレイヤ 4 オペレーションがサポートされます。
レイヤ 4 オペレーションは、出力 TCAM リージョンではサポートされません。
MAC 圧縮テーブルのサイズは 4096 + 512 オーバーフロー TCAM です。
MAC アドレスと MAC マスクのオーバーラップは拒否されます。
ACL ログ レート リミッタには、送信またはドロップされたパケットに関するハードウェア カウンタはありません。
ACL ログ レート リミッタの実装は各 TCAM エントリ レベルで行われ(集約されたレート制限を使用するのではなく)、デフォルトは 1 pps です。
ネットワーク アドレス変換(NAT)の例外カウンタはゼロです。
TAP アグリゲーションでは RACL リダイレクトだけがサポートされます。VACL リダイレクトはサポートされていません。
DHCPv4 スヌーピング/リレー、DHCPv6 リレー、ARP スヌーピング、VXLAN の 4 つの機能のうち、同時にサポートできるのは 3 つだけです。適用されるのは最初に設定された 3 つの機能であり、3 つのブリッジ ドメイン ラベル ビットがすべて使用中になるため、4 番目は失敗します。
パラメータ |
デフォルト |
---|---|
IP ACL |
デフォルトでは IP ACL は存在しません。 |
IP ACL エントリ |
1024 |
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
オブジェクト グループ |
デフォルトではオブジェクト グループは存在しません。 |
時間範囲 |
デフォルトでは時間範囲は存在しません。 |
デバイスに IPv4 ACL または IPv6 ACL を作成し、これにルールを追加できます。
ACL の設定には Session Manager を使用することを推奨します。この機能によって、ACL の設定を確認し、設定を実行コンフィギュレーションにコミットする前に、その設定が必要とするリソースが利用可能かどうかを確認できます。この機能は、約 1,000 以上のルールが含まれている ACL に対して特に有効です。
1.
configure terminal
3.
(任意) fragments {permit-all | deny-all}
4.
[sequence-number] {permit | deny} protocolsourcedestination
5.
(任意) statistics per-entry
7.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | 次のいずれかのコマンドを入力します。
例: switch(config)# ip access-list acl-01 switch(config-acl)# |
IP ACL を作成して、IP ACL コンフィギュレーション モードを開始します。name 引数は 64 文字以内で指定します。 |
ステップ 3 | fragments {permit-all | deny-all}
例: switch(config-acl)# fragments permit-all | (任意)
初期状態でないフラグメントのフラグメント処理を最適化します。デバイスで、fragments コマンドが含まれる ACL がトラフィックに適用される場合、fragments コマンドは、ACL での明示的な permit コマンドまたは deny コマンドに一致しない非初期フラグメントだけに一致します。 |
ステップ 4 | [sequence-number] {permit | deny} protocolsourcedestination
例: switch(config-acl)# permit ip 192.168.2.0/24 any |
IP ACL 内にルールを作成します。多数のルールを作成できます。sequence-number 引数には、1 ~ 4294967295 の整数を指定します。 permit コマンドと deny コマンドには、トラフィックを識別するための多くの方法が用意されています。 |
ステップ 5 | statistics per-entry
例: switch(config-acl)# statistics per-entry | (任意)
その ACL のルールと一致するパケットのグローバル統計をデバイスが維持するように設定します。 |
ステップ 6 | 次のいずれかのコマンドを入力します。
例: switch(config-acl)# show ip access-lists acl-01 | (任意)
IP ACL の設定を表示します。 |
ステップ 7 | copy running-config startup-config 例: switch(config-acl)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
既存の IPv4 ACL または IPv6 ACL のルールの追加と削除は実行できますが、既存のルールを変更することはできません。ルールを変更するには、そのルールを削除してから、変更を加えたルールを再作成します。
既存のルールの間に新しいルールを挿入する必要がある場合で、現在のシーケンス番号の空き状況ではすべてを挿入できないときは、resequence コマンドを使用してシーケンス番号を再割り当てします。
ACL の設定には Session Manager を使用することを推奨します。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。この機能は、約 1,000 以上のルールが含まれている ACL に対して特に有効です。
1.
configure terminal
3.
(任意) [sequence-number] {permit | deny}protocolsourcedestination
4.
(任意) [no] fragments {permit-all | deny-all}
5.
(任意) no {sequence-number | {permit | deny}protocolsourcedestination}
6.
(任意) [no] statistics per-entry
8.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | 次のいずれかのコマンドを入力します。
例: switch(config)# ip access-list acl-01 switch(config-acl)# |
名前で指定した ACL の IP ACL コンフィギュレーション モードを開始します。 |
ステップ 3 | [sequence-number] {permit | deny}protocolsourcedestination
例: switch(config-acl)# 100 permit ip 192.168.2.0/24 any | (任意)
IP ACL 内にルールを作成します。シーケンス番号を指定すると、ACL 内のルール挿入位置を指定できます。シーケンス番号を指定しないと、ルールは ACL の末尾に追加されます。sequence-number 引数には、1 ~ 4294967295 の整数を指定します。 permit コマンドと deny コマンドには、トラフィックを識別するための多くの方法が用意されています。 |
ステップ 4 | [no] fragments {permit-all | deny-all}
例: switch(config-acl)# fragments permit-all | (任意)
初期状態でないフラグメントのフラグメント処理を最適化します。デバイスで、fragments コマンドが含まれる ACL がトラフィックに適用される場合、fragments コマンドは、ACL での明示的な permit コマンドまたは deny コマンドに一致しない非初期フラグメントだけに一致します。 no オプションを使用すると、フラグメント処理の最適化が削除されます。 |
ステップ 5 | no {sequence-number | {permit | deny}protocolsourcedestination}
例: switch(config-acl)# no 80 | (任意)
指定したルールを IP ACL から削除します。 permit コマンドと deny コマンドには、トラフィックを識別するための多くの方法が用意されています。 |
ステップ 6 | [no] statistics per-entry
例: switch(config-acl)# statistics per-entry | (任意)
その ACL のルールと一致するパケットのグローバル統計をデバイスが維持するように設定します。 no オプションを使用すると、デバイスはその ACL のグローバル統計の維持を停止します。 |
ステップ 7 | 次のいずれかのコマンドを入力します。
例: switch(config-acl)# show ip access-lists acl-01 | (任意)
IP ACL の設定を表示します。 |
ステップ 8 | copy running-config startup-config 例: switch(config-acl)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
入力方向または出力方向の全 VTY 回線で、すべての IPv4 または IPv6 トラフィックへのアクセスを制御することにより、VTY ACL を設定できます。
すべての仮想端末回線にユーザが接続できるため、すべての仮想端末回線に同じ制約を設定する必要があります。
ACL の設定には Session Manager を使用することを推奨します。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認でき、特に約 1000 以上のルールを含む ACL に役立ちます。
1.
configure terminal
2. {ip | ipv6} access-listname
3. {permit | deny}protocolsourcedestination [log] [time-rangetime]
4.
exit
5.
line vty
6. {ip | ipv6} access-classname {in | out}
7. (任意) show {ip | ipv6} access-lists
8.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | {ip | ipv6} access-listname 例: switch(config)# ip access-list vtyacl |
ACL を作成し、その ACL の IP アクセス リスト コンフィギュレーション モードを開始します。name 引数の最大長は 64 文字です。 |
ステップ 3 | {permit | deny}protocolsourcedestination [log] [time-rangetime] 例: switch(config-ip-acl)# permit tcp any any |
ACL ルールを作成し、指定した送信元とのすべての TCP トラフィックを許可します。 |
ステップ 4 | exit 例: switch(config-ip-acl)# exit switch(config)# |
IP アクセス リスト コンフィギュレーション モードを終了します。 |
ステップ 5 | line vty
例: switch(config)# line vty switch(config-line)# |
仮想端末を指定し、ライン コンフィギュレーション モードを開始します。 |
ステップ 6 | {ip | ipv6} access-classname {in | out}
例: switch(config-line)# ip access-class vtyacl out |
指定された ACL を使用してすべての VTY 回線に対する着信および発信接続を制限します。name 引数の最大長は 64 文字です。 |
ステップ 7 | show {ip | ipv6} access-lists
例: switch# show ip access-lists | (任意)
任意の VTY ACL を含め、設定された ACL を表示します。 |
ステップ 8 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
IP ACL 内のルールに付けられたすべてのシーケンス番号を変更できます。
ACL の設定には Session Manager を使用することを推奨します。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。この機能は、約 1,000 以上のルールが含まれている ACL に対して特に有効です。
1.
configure terminal
2.
resequence {ip | ipv6} access-listnamestarting-sequence-numberincrement
3.
(任意) show ip access-listsname
4.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | resequence {ip | ipv6} access-listnamestarting-sequence-numberincrement
例: switch(config)# resequence access-list ip acl-01 100 10 |
ACL 内に記述されているルールにシーケンス番号を付けます。指定した開始シーケンス番号が最初のルールに付けられます。後続の各ルールには、直前のルールよりも大きい番号が付けられます。番号の間隔は、指定した増分によって決まります。starting-sequence-number 引数と increment 引数は、1 ~ 4294967295 の整数で指定します。 |
ステップ 3 | show ip access-listsname
例: switch(config)# show ip access-lists acl-01 | (任意)
IP ACL の設定を表示します。 |
ステップ 4 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
IP ACL をデバイスから削除できます。
その ACL がインターフェイスに適用されているかどうかを確認します。削除できるのは、現在適用されている ACL です。ACL を削除しても、その ACL が適用されていたインターフェイスの設定は影響を受けません。デバイスは削除された ACL を空であると見なします。IP ACL が設定されているインターフェイスを探すには、show ip access-lists コマンドまたは show ipv6 access-lists コマンドと一緒に summary キーワードを使用します。
1.
configure terminal
4.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | 次のいずれかのコマンドを入力します。
例: switch(config)# no ip access-list acl-01 |
名前で指定した IP ACL を実行コンフィギュレーションから削除します。 |
ステップ 3 | 次のいずれかのコマンドを入力します。
例: switch(config)# show ip access-lists acl-01 summary | (任意)
IP ACL の設定を表示します。ACL がインターフェイスに引き続き適用されている場合は、インターフェイスが表示されます。 |
ステップ 4 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
IPv4 または IPv6 ACL は、次のタイプのインターフェイスに適用できます。
これらのインターフェイス タイプに適用された ACL はルータ ACL と見なされます。
(注) | レイヤ 3 イーサネット ポート チャネルのサブインターフェイスは、ルータ ACL ではサポートされていません。 |
(注) | 出力ルータ ACL は、サブインターフェイスおよび Cisco Nexus 9300 シリーズ スイッチのアップリンク ポートではサポートされていません。 |
適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。
1. switch# configure terminal
3.
(任意) show running-config aclmgr
4.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 |
---|
ハードウェアの ACL Ternary Content Addressable Memory(TCAM)リージョンのサイズを変更できます。
ここでの例は、Cisco Nexus 9200、9300、および 9500 シリーズ スイッチおよび、Cisco Nexus 3164Q、31128PQ、3232C、および 3264Q スイッチのすべてで使用できますが、TCAM テンプレートを使用して ACL TCAM リージョン サイズを設定する必要がある NFE2 対応デバイス(X9432C-S 100G ライン カードや C9508-FM-S ファブリック モジュールなど)には適用できません。TCAM テンプレートの使用方法の詳細については、「テンプレートを使用した ACL TCAM リージョン サイズの設定」を参照してください。
(注) | テンプレートを適用すると(「テンプレートを使用した ACL TCAM リージョン サイズの設定」を使用)、ここで説明した hardware access-list tcam region コマンドは機能しません。このコマンドを使用するには、テンプレートのコミットを解除する必要があります。 |
(注) | QoS TCAM カービングの設定については、『Cisco Nexus 9000 Series NX-OS Quality of Service Configuration Guide』を参照してください。 |
1.
configure terminal
2.
[no] hardware access-list tcam regionregiontcam-size
3.
copy running-config startup-config
4.
(任意) show hardware access-list tcam region
5.
reload
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | [no] hardware access-list tcam regionregiontcam-size
例: switch(config)# hardware access-list tcam region mpls 256 |
ACL TCAM リージョン サイズを変更します。使用可能なリージョンは次のとおりです。
デフォルトの TCAM リージョン サイズに戻すには、このコマンドの no 形式を使用します。
| ||
ステップ 3 | copy running-config startup-config 例: switch(config)# copy running-config startup-config |
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 | ||
ステップ 4 | show hardware access-list tcam region
例: switch(config)# show hardware access-list tcam region | (任意)
デバイスで次のリロード時に適用される TCAM サイズを表示します。 | ||
ステップ 5 | reload
例: switch(config)# reload |
デバイスがリロードされます。
|
次に、Cisco Nexus 9500 シリーズ スイッチで RACL TCAM リージョンのサイズを変更する例を示します。
switch(config)# hardware access-list tcam region racl 256 [SUCCESS] New tcam size will be applicable only at boot time. You need to 'copy run start' and 'reload' switch(config)# copy running-config startup-config switch(config)# reload WARNING: This command will reboot the system Do you want to continue? (y/n) [n] y
次に、変更を確認するために、TCAM リージョンのサイズを表示する例を示します。
switch(config)# show hardware access-list tcam region TCAM Region Sizes: IPV4 PACL [ifacl] size = 512 IPV6 PACL [ipv6-ifacl] size = 0 MAC PACL [mac-ifacl] size = 0 IPV4 Port QoS [qos] size = 256 IPV6 Port QoS [ipv6-qos] size = 0 MAC Port QoS [mac-qos] size = 0 FEX IPV4 PACL [fex-ifacl] size = 0 FEX IPV6 PACL [fex-ipv6-ifacl] size = 0 FEX MAC PACL [fex-mac-ifacl] size = 0 FEX IPV4 Port QoS [fex-qos] size = 0 FEX IPV6 Port QoS [fex-ipv6-qos] size = 0 FEX MAC Port QoS [fex-mac-qos] size = 0 IPV4 VACL [vacl] size = 512 IPV6 VACL [ipv6-vacl] size = 0 MAC VACL [mac-vacl] size = 0 IPV4 VLAN QoS [vqos] size = 0 IPV6 VLAN QoS [ipv6-vqos] size = 0 MAC VLAN QoS [mac-vqos] size = 0 IPV4 RACL [racl] size = 512 IPV6 RACL [ipv6-racl] size = 0 IPV4 Port QoS Lite [qos-lite] size = 0 FEX IPV4 Port QoS Lite [fex-qos-lite] size = 0 IPV4 VLAN QoS Lite [vqos-lite] size = 0 IPV4 L3 QoS Lite [l3qos-lite] size = 0 Egress IPV4 QoS [e-qos] size = 0 Egress IPV6 QoS [e-ipv6-qos] size = 0 Egress MAC QoS [e-mac-qos] size = 0 Egress IPV4 VACL [vacl] size = 512 Egress IPV6 VACL [ipv6-vacl] size = 0 Egress MAC VACL [mac-vacl] size = 0 Egress IPV4 RACL [e-racl] size = 256 Egress IPV6 RACL [e-ipv6-racl] size = 0 Egress IPV4 QoS Lite [e-qos-lite] size = 0 IPV4 L3 QoS [l3qos] size = 0 IPV6 L3 QoS [ipv6-l3qos] size = 0 MAC L3 QoS [mac-l3qos] size = 0 Ingress System size = 256 Egress System size = 256 SPAN [span] size = 256 Ingress COPP [copp] size = 256 Ingress Flow Counters [flow] size = 0 Egress Flow Counters [e-flow] size = 0 Ingress SVI Counters [svi] size = 0 Redirect [redirect] size = 512 NS IPV4 Port QoS [ns-qos] size = 256 NS IPV6 Port QoS [ns-ipv6-qos] size = 0 NS MAC Port QoS [ns-mac-qos] size = 0 NS IPV4 VLAN QoS [ns-vqos] size = 256 NS IPV6 VLAN QoS [ns-ipv6-vqos] size = 0 NS MAC VLAN QoS [ns-mac-vqos] size = 0 NS IPV4 L3 QoS [ns-l3qos] size = 256 NS IPV6 L3 QoS [ns-ipv6-l3qos] size = 0 NS MAC L3 QoS [ns-mac-l3qos] size = 0 VPC Convergence [vpc-convergence] size = 256 IPSG SMAC-IP bind table [ipsg] size = 0 Ingress ARP-Ether ACL [arp-ether] size = 0 ranger+ IPV4 QoS Lite [rp-qos-lite] size = 0 ranger+ IPV4 QoS [rp-qos] size = 256 ranger+ IPV6 QoS [rp-ipv6-qos] size = 256 ranger+ MAC QoS [rp-mac-qos] size = 256 NAT ACL[nat] size = 0 Mpls ACL size = 0 Ingress IPv4 N3K QoS size = 0 Ingress IPv6 N3K QoS size = 0 MOD RSVD size = 0 sFlow ACL [sflow] size = 0 mcast bidir ACL size = 0 Openflow size = 0
次に、デフォルトの RACL TCAM リージョン サイズに戻す例を示します。
switch(config)# no hardware profile tcam region racl 512 [SUCCESS] New tcam size will be applicable only at boot time. You need to 'copy run start' and 'reload' switch(config)# copy running-config startup-config switch(config)# reload WARNING: This command will reboot the system Do you want to continue? (y/n) [n] y
Cisco NX-OS リリース 7.0(3)I3(1) 以降では、カスタム テンプレートを使用、作成、および適用することで ACL TCAM リージョン サイズを設定できます。
Cisco Nexus 9200、9300、および 9500 シリーズ スイッチおよび、Cisco Nexus 3164Q、31128PQ、3232C、および 3264Q スイッチについては、いずれもこの手順または「ACL TCAM リージョン サイズの設定」の手順を使用して ACL TCAM リージョン サイズを設定できます。ただし、NFE2 対応デバイス(X9432C-S 100G ライン カードや C9508-FM-S ファブリック モジュールなど)では hardware access-list tcam region コマンドがサポートされていないので、テンプレートを使用して ACL TCAM リージョン サイズを設定する必要があります。
(注) | TCAM テンプレートを適用すると、hardware access-list tcam region コマンドは機能しません。このコマンドを使用するには、テンプレートのコミットを解除する必要があります。 |
(注) | QoS TCAM カービングの設定については、『Cisco Nexus 9000 Series NX-OS Quality of Service Configuration Guide』を参照してください。 |
1.
configure terminal
2.
[no] hardware profile tcam resource templatetemplate-nameref-template {nfe | nfe2 | {l2-l3 | l3}}
3.
(任意) regiontcam-size
4.
exit
5.
[no] hardware profile tcam resource service-templatetemplate-name
6.
(任意) show hardware access-list tcam template {all | nfe | nfe2 | l2-l3 | l3 | template-name}
7.
(任意) copy running-config startup-config
8.
reload
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | [no] hardware profile tcam resource templatetemplate-nameref-template {nfe | nfe2 | {l2-l3 | l3}} 例: switch(config)# hardware profile tcam resource template SR_MPLS_CARVE ref-template nfe2 switch(config-tcam-temp)# |
ACL TCAM リージョンのサイズを設定するためのテンプレートを作成します。 nfe:ネットワーク フォワーディング エンジン(NFE)対応の Cisco Nexus 9300 および 9500 シリーズ、3164Q、および 31128PQ デバイスでのデフォルト TCAM テンプレート。 nfe2:NFE2 対応の Cisco Nexus 9500 シリーズ、3232C、および 3264Q デバイスのデフォルト TCAM テンプレート。 l2-l3:Cisco Nexus 9200 シリーズ スイッチでのレイヤ 2 およびレイヤ 3 設定のデフォルト TCAM テンプレート。 l3:Cisco Nexus 9200 シリーズ スイッチでのレイヤ 3 設定のデフォルト TCAM テンプレート。レイヤ 3 TCAM テンプレートは、Cisco Nexus 9200 シリーズ スイッチのデフォルト テンプレートです。 | ||
ステップ 3 | regiontcam-size 例: switch(config-tcam-temp)# mpls 256 | (任意)
所要の TCAM リージョンおよびそのサイズをテンプレートに追加します。テンプレートに追加する各リージョンで、このコマンドを入力します。使用可能なリージョンの一覧については、「ACL TCAM リージョン サイズの設定」を参照してください。 | ||
ステップ 4 | exit 例: switch(config-tcam-temp)# exit switch(config#) |
TCAM テンプレート コンフィギュレーション モードを終了します。 | ||
ステップ 5 | [no] hardware profile tcam resource service-templatetemplate-name 例: switch(config)# hardware profile tcam resource service-template SR_MPLS_CARVE |
カスタム テンプレートを、すべてのライン カードおよびファブリック モジュールに適用します。 | ||
ステップ 6 | show hardware access-list tcam template {all | nfe | nfe2 | l2-l3 | l3 | template-name} 例: switch(config)# show hardware access-list tcam template SR_MPLS_CARVE | (任意)
すべての TCAM テンプレートまたは特定のテンプレートの設定を表示します。 | ||
ステップ 7 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 | ||
ステップ 8 | reload
例: switch(config)# reload |
デバイスがリロードされます。
|
デフォルト TCAM リージョン設定はプラットフォームごとに異なり、すべての TCAM リージョンには対応しません。所要のリージョンをイネーブルにするには、1 つのリージョンの TCAM サイズを減らしてから、所要のリージョンの TCAM サイズを増やす必要があります。
(注) | QoS TCAM カービングの設定については、『Cisco Nexus 9000 Series NX-OS Quality of Service Configuration Guide』を参照してください。 |
次の表に、各種プラットフォームでの入出力 TCAM リージョンのデフォルト サイズを示します。
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
IPv4 RACL | 1536 | 1 | 1536 |
IPv4 レイヤ 3 QoS | 256 | 2 | 512 |
SPAN | 256 | 1 | 256 |
CoPP | 256 | 2 | 512 |
システム | 256 | 2 | 512 |
リダイレクト | 256 | 1 | 256 |
vPC コンバージェンス | 512 | 1 | 512 |
4 K |
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
IPv4 RACL | 768 | 1 | 768 |
システム | 256 | 1 | 256 |
1 K |
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
IPv4 ポート ACL | 512 | 1 | 512 |
IPv4 ポート QoS | 256 | 2 | 512 |
IPv4 VACL | 512 | 1 | 512 |
IPv4 RACL | 512 | 1 | 512 |
SPAN | 256 | 1 | 256 |
CoPP | 256 | 2 | 512 |
ACI リーフ ライン カード用 IPv4 ポート QoS | 256 | 1 | 256 |
ACI リーフ ライン カード用 IPv4 VLAN QoS | 256 | 1 | 256 |
ACI リーフ ライン カード用 IPv4 レイヤ 3 QoS | 256 | 1 | 256 |
システム | 256 | 2 | 512 |
リダイレクト | 512 | 1 | 512 |
vPC コンバージェンス | 256 | 1 | 256 |
4 K |
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
IPv4 VACL | 512 | 1 | 512 |
IPv4 RACL | 256 | 1 | 256 |
システム | 256 | 1 | 256 |
1 K |
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
入力 NAT |
0 |
1 |
0 |
入力ポート ACL | 256 | 1 | 256 |
入力 VACL | 256 | 1 | 256 |
入力 RACL | 1536 | 1 | 1536 |
入力レイヤ 2 QoS | 256 | 1 | 256 |
入力レイヤ 3 VLAN QoS | 256 | 1 | 256 |
入力スーパーバイザ | 512 | 1 | 512 |
入力レイヤ 2 ACL SPAN | 256 | 1 | 256 |
入力レイヤ 3 ACL SPAN | 256 | 1 | 256 |
ポートベース SPAN | 512 | 1 | 512 |
4096 |
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
出力 VACL | 256 | 1 | 256 |
出力 RACL | 1536 | 1 | 1536 |
出力スーパーバイザ | 256 | 1 | 256 |
2048 |
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
入力 NAT |
0 |
1 |
0 |
入力ポート ACL | 0 | 1 | 0 |
入力 VACL | 0 | 1 | 0 |
入力 RACL | 1792 | 1 | 1792 |
入力レイヤ 2 QoS | 256 | 1 | 256 |
入力レイヤ 3 VLAN QoS | 512 | 1 | 512 |
入力スーパーバイザ | 512 | 1 | 512 |
入力レイヤ 2 ACL SPAN | 256 | 1 | 256 |
入力レイヤ 3 ACL SPAN | 256 | 1 | 256 |
ポートベース SPAN | 512 | 1 | 512 |
4096 |
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
出力 VACL | 0 | 1 | 0 |
出力 RACL | 1792 | 1 | 1792 |
出力スーパーバイザ | 256 | 1 | 256 |
2048 |
次の例では、Cisco Nexus 9500 シリーズ スイッチでの IPv6 RACL TCAM サイズを 256 に設定します。サイズが 256 の IPv6 RACL は、IPv6 がダブル幅であるため、512 エントリを使用します。
(注) | 異なるリージョン用に TCAM の設定を変更したり、異なるデバイス用に TCAM の設定を変更するには、同様の手順に従ってください。 |
Cisco Nexus 9500 シリーズ スイッチで入力 IPv6 RACL TCAM リージョンのサイズを設定するには、2 つのオプションのいずれか 1 つを実行します。
オプション #1
入力 IPv4 RACL を 512 エントリ減らし(1536 - 512 = 1024)、入力 IPv6 RACL を 512 エントリ増やします。このオプションが優先されます。
switch(config)# hardware access-list tcam region racl 1024 Warning: Please reload the linecard for the configuration to take effect switch(config)# hardware access-list tcam region ipv6-racl 256 Warning: Please reload the linecard for the configuration to take effect
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
IPv4 RACL | 1024 | 1 | 1024 |
IPv6 RACL | 256 | 2 | 512 |
IPv4 レイヤ 3 QoS | 256 | 2 | 512 |
SPAN | 256 | 1 | 256 |
CoPP | 256 | 2 | 512 |
システム | 256 | 2 | 512 |
リダイレクト | 256 | 1 | 256 |
vPC コンバージェンス | 512 | 1 | 512 |
4 K |
オプション #2
IPv4 レイヤ 3 QoS のサイズを 0 に減らして削除し、入力 IPv6 RACL を追加します。このオプションは、IPv4 レイヤ 3 QoS を使用していない場合に使用できます。
switch(config)# hardware access-list tcam region l3qos 0 Warning: Please reload the linecard for the configuration to take effect switch(config)# hardware access-list tcam region ipv6-racl 256 Warning: Please reload the linecard for the configuration to take effect
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
IPv4 RACL | 1536 | 1 | 1536 |
IPv6 RACL | 256 | 2 | 512 |
IPv4 レイヤ 3 QoS | 0 | 2 | 0 |
SPAN | 256 | 1 | 256 |
CoPP | 256 | 2 | 512 |
システム | 256 | 2 | 512 |
リダイレクト | 256 | 1 | 256 |
vPC コンバージェンス | 512 | 1 | 512 |
4 K |
サイズ 256 の出力 IPv6 RACL をイネーブルにするには、出力 IPv4 RACL を 256 に減らし、出力 IPv6 RACL を追加します。
switch(config)# hardware access-list tcam region e-racl 256 Warning: Please reload the linecard for the configuration to take effect switch(config)# hardware access-list tcam region e-ipv6-racl 256 Warning: Please reload the linecard for the configuration to take effect
リージョン名 | サイズ | 幅 | 合計サイズ |
---|---|---|---|
IPv4 RACL | 256 | 1 | 256 |
IPv6 RACL | 256 | 2 | 512 |
システム | 256 | 1 | 256 |
1 K |
TCAM リージョンのサイズを調整した後、show hardware access-list tcam region コマンドを入力して、デバイスの次回リロード時に適用可能な TCAM サイズを表示します。
設定によっては、TCAM サイズが超過したり、スライスが不足する場合があります。
ERROR: Aggregate TCAM region configuration exceeded the available Ingress TCAM space. Please re-configure.
ERROR: Aggregate TCAM region configuration exceeded the available Ingress TCAM slices. Please re-configure.
ERROR: Aggregate TCAM region configuration exceeded the available Egress TCAM space. Please re-configure.
特定の機能の TCAM が設定されていない状態で TCAM カービングを必要とする機能を適用しようとすると、次のメッセージが表示されます。
ERROR: Module x returned status: TCAM region is not configured. Please configure TCAM
region and retry the command.
(注) | 256 というデフォルトのリダイレクト TCAM リージョン サイズは、多数の BFD または DHCP リレー セッションを実行している場合は十分でない可能性があります。より多くの BFD または DHCP リレー セッションに対応するために、TCAM サイズを 512 に増やす必要がある場合があります。 |
IPv4 ACL または IPv6 ACL は、レイヤ 2 インターフェイス(物理ポートまたはポート チャネル)に適用できます。これらのインターフェイス タイプに適用された ACL は、ポート ACL と見なされます。
(注) | インターフェイスを mac packet-classify で設定する場合は、mac packet-classify コマンドをインターフェイス設定から削除するまで、IP ポート ACL をインターフェイスに適用できません。 |
適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。
1.
configure terminal
4.
(任意) show running-config aclmgr
5.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | 次のいずれかのコマンドを入力します。
例: switch(config)# interface ethernet 2/3 switch(config-if)# |
指定したインターフェイス タイプのコンフィギュレーション モードを開始します。 |
ステップ 3 | 次のいずれかのコマンドを入力します。
例: switch(config-if)# ip port access-group acl-l2-marketing-group in |
IPv4 ACL または IPv6 ACL をインターフェイスまたはポート チャネルに適用します。ポート ACL では、インバウンド フィルタリングだけがサポートされています。1 つのインターフェイスに 1 つのポート ACL を適用できます。 |
ステップ 4 | show running-config aclmgr
例: switch(config-if)# show running-config aclmgr | (任意)
ACL の設定を表示します。 |
ステップ 5 | copy running-config startup-config 例: switch(config-if)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
IP ACL は VACL として適用できます。
IPv4 ACL ロギング プロセスを設定するには、まずアクセス リストを作成し、指定された ACL を使用してインターフェイスで IPv4 トラフィックのフィルタリングをイネーブルにし、最後に ACL ロギング プロセス パラメータを設定します。
1.
configure terminal
2.
ip access-listname
3.
{permit | deny} ipsource-addressdestination-addresslog
4.
exit
5.
interface ethernetslot/port
6.
ip access-groupnamein
7.
exit
8.
logging ip access-list cache intervalinterval
9.
logging ip access-list cache entriesnumber-of-flows
10.
logging ip access-list cache thresholdthreshold
11.
logging ip access-list detailed
12.
hardware rate-limiter access-list-logpackets
13.
acllog match-log-levelseverity-level
14.
(任意) show logging ip access-list cache [detail]
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | ip access-listname 例: switch(config)# ip access-list logging-test switch(config-acl)# |
IPv4 ACL を作成し、IP ACL コンフィギュレーション モードを開始します。name 引数は 64 文字以内で指定します。 |
ステップ 3 | {permit | deny} ipsource-addressdestination-addresslog 例: switch(config-acl)# permit ip any 10.30.30.0/24 log |
条件に一致する IPv4 トラフィックを許可または拒否する、ACL のルールを作成します。ルールに一致する各パケットについての情報ロギング メッセージの生成をイネーブルにするには、log キーワードを含める必要があります。 source-address および destination-address 引数には、IP アドレスとネットワーク ワイルドカード、IP アドレスと可変長サブネット マスク、ホスト アドレス、または任意のアドレスを指定する any などがあります。 |
ステップ 4 | exit 例: switch(config-acl)# exit switch(config)# |
設定を更新し、IP ACL コンフィギュレーション モードを終了します。 |
ステップ 5 | interface ethernetslot/port 例: switch(config)# interface ethernet 1/1 switch(config-if)# |
インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 6 | ip access-groupnamein
例: switch(config-if)# ip access-group logging-test in |
指定された ACL を使用して、インターフェイス上で IPv4 トラフィックのフィルタリングをイネーブルにします。着信トラフィックに ACL を適用できます。 |
ステップ 7 | exit 例: switch(config-if)# exit switch(config)# |
設定を更新し、インターフェイス コンフィギュレーション モードを終了します。 |
ステップ 8 | logging ip access-list cache intervalinterval
例: switch(config)# logging ip access-list cache interval 490 |
ACL ロギング プロセスのログ更新間隔を秒数で設定します。デフォルト値は 300 秒です。指定できる範囲は 5 ~ 86400 秒です。 |
ステップ 9 | logging ip access-list cache entriesnumber-of-flows
例: switch(config)# logging ip access-list cache entries 8001 |
ACL ロギング プロセスによってモニタリングするフローの最大数を指定します。デフォルト値は 8000 です。指定できる値の範囲は、0 ~ 1048576 です。 |
ステップ 10 | logging ip access-list cache thresholdthreshold
例: switch(config)# logging ip access-list cache threshold 490 |
アラート間隔の期限が満了する前に規定のパケット数がログ記録されると、システムは syslog メッセージを生成します。 |
ステップ 11 | logging ip access-list detailed
例: switch(config)# logging ip access-list detailed |
show logging ip access-list cache コマンドの出力で、アクセス コントロール エントリ(ACE)のシーケンス番号、ACE のアクション、ACL の名前、ACL の方向、ACL のフィルタ タイプ、および ACL の適用インターフェイスの情報表示をイネーブルにします。 |
ステップ 12 | hardware rate-limiter access-list-logpackets
例: switch(config)# hardware rate-limiter access-list-log 200 |
ACL ロギングのためにスーパーバイザ モジュールにコピーされるパケットのレート制限を pps で設定します。範囲は 0 ~ 30000 です。 |
ステップ 13 | acllog match-log-levelseverity-level
例: switch(config)# acllog match-log-level 5 |
ACL 一致をログ記録する最小の重大度を指定します。デフォルト値は 6(情報)です。0(緊急)~7(デバッグ)までの範囲があります。 |
ステップ 14 | show logging ip access-list cache [detail]
例: switch(config)# show logging ip access-list cache | (任意)
送信元 IP と宛先 IP アドレス、送信元ポートと宛先ポートの情報、送信元インターフェイスなどの、アクティブ ログ フロー情報を表示します。logging ip access-list detailed コマンドを入力すると、出力には、アクセス コントロール エントリ(ACE)のシーケンス番号、ACE のアクション、ACL の名前、ACL の方向、ACL のフィルタ タイプ、および ACL の適用インターフェイスの情報も含まれます。 |
特定の HTTP メソッドを代行受信し、特定のポートに接続されたサーバにリダイレクトするよう ACL を設定できます。
次の HTTP メソッドをリダイレクトできます。
コマンドの hardware access-list tcam region ifacl 512 double-wide を使用して、IFACL リージョンに関してダブル幅の TCAM をイネーブルにします。このコマンドは、グローバル コンフィギュレーションに適用されます。この設定を有効にするには、スイッチをリロードします。
1.
configure terminal
2.
ip access-listname
3.
[sequence-number] permitprotocolsourcedestinationhttp-methodmethod [tcp-option-lengthlength] [redirectinterface]
4.
(任意) show ip access-listsname
5.
(任意) show run interfaceinterface slot/port
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | ip access-listname
例: switch(config)# ip access-list acl-01 switch(config-acl)# |
IP ACL を作成して、IP ACL コンフィギュレーション モードを開始します。name 引数は 64 文字以内で指定します。 |
ステップ 3 | [sequence-number] permitprotocolsourcedestinationhttp-methodmethod [tcp-option-lengthlength] [redirectinterface]
例: switch(config-acl)# permit tcp 1.1.1.1/32 any http-method get |
特定の HTTP メソッドをサーバにリダイレクトするように ACL を設定します。 次の HTTP メソッドがサポートされています。
tcp-option-length オプションは、パケット中の TCP オプション ヘッダーの長さを指定します。アクセス コントロール エントリ(ACE)中には、最大 4 つの TCP オプション長を設定できます(4 バイトの倍数)。length の範囲は 0 ~ 40 です。このオプションを設定しないと、長さは 0 に指定され、TCP ヘッダー オプションのないパケットのみが ACE で照合可能になります。このオプションにより HTTP メソッドは、可変長 TCP オプション ヘッダーを持つパケットであっても照合可能になります。 redirect オプションは、HTTP メソッドを特定のポートに接続されたサーバにリダイレクトさせます。HTTP リダイレクト機能は、レイヤ 3 ポートでは動作しません。 |
ステップ 4 | show ip access-listsname
例: switch(config-acl)# show ip access-lists acl-01 | (任意)
IP ACL の設定を表示します。 |
ステップ 5 | show run interfaceinterface slot/port
例: switch(config-acl)# show run interface ethernet 2/2 | (任意)
インターフェイスの設定を表示します。 |
次の例は、パケット中の TCP ヘッダー オプションの長さを指定し、ポート チャネル 4001 に接続されたサーバにポスト HTTP メソッドをリダイレクトさせます。
switch(config)# ip access-list http-redirect-acl switch(config-acl)# 10 permit tcp any any http-method get tcp-option-length 4 redirect port-channel4001 switch(config-acl)# 20 permit tcp any any http-method post redirect port-channel4001 switch(config-acl)# statistics per-entry switch(config)# interface Ethernet 1/33 switch(config-if)# ip port access-group http-redirect-acl in
コマンド |
目的 |
||
---|---|---|---|
show hardware access-list tcam region |
デバイスで次のリロード時に適用される TCAM サイズを表示します。 |
||
show hardware access-list tcam template {all | nfe | nfe2 | l2-l3 | l3 | template-name} |
すべての TCAM テンプレートまたは特定のテンプレートの設定を表示します。 nfe:ネットワーク フォワーディング エンジン(NFE)対応の Cisco Nexus 9300 および 9500 シリーズ、3164Q、および 31128PQ デバイスでのデフォルト TCAM テンプレート。 nfe2:NFE2 対応の Cisco Nexus 9500、3232C、および 3264Q デバイスのデフォルト TCAM テンプレート。 l2-l3:Cisco Nexus 9200 シリーズ スイッチでのレイヤ 2 およびレイヤ 3 設定のデフォルト TCAM テンプレート。 l3:Cisco Nexus 9200 シリーズ スイッチでのレイヤ 3 設定のデフォルト TCAM テンプレート。 |
||
show ip access-lists |
IPv4 ACL の設定を表示します。 |
||
show ipv6 access-lists |
IPv6 ACL の設定を表示します。 |
||
show logging ip access-list cache [detail] |
送信元 IP と宛先 IP アドレス、送信元ポートと宛先ポートの情報、および送信元インターフェイスなどの、アクティブ ログ フロー情報を表示します。logging ip access-list detailed コマンドを入力すると、出力には、アクセス コントロール エントリ(ACE)のシーケンス番号、ACE のアクション、ACL の名前、ACL の方向、ACL のフィルタ タイプ、および ACL の適用インターフェイスの情報も含まれます。 |
||
show logging ip access-list status |
拒否フローの最大数、現在の有効なログ間隔と現在の有効なしきい値を表示します。 |
||
show running-config acllog |
ACL ログの実行コンフィギュレーションを表示します。 |
||
show running-config aclmgr [all] |
IP ACL の設定および IP ACL が適用されるインターフェイスを含めて、ACL の実行コンフィギュレーションを表示します。
|
||
show startup-config acllog |
ACL ログのスタートアップ コンフィギュレーションを表示します。 |
||
show startup-config aclmgr [all] |
ACL のスタートアップ コンフィギュレーションを表示します。
|
コマンド |
目的 |
---|---|
show ip access-lists |
IPv4 ACL の設定を表示します。IPv4 ACL に statistics per-entry コマンドが含まれている場合は、show ip access-lists コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
show ipv6 access-lists |
IPv6 ACL の設定を表示します。IPv6 ACL に statistics per-entry コマンドが含まれている場合は、show ipv6 access-lists コマンドの出力に、各ルールと一致したパケットの数が含められます。 |
clear ip access-list counters |
すべての IPv4 ACL または特定の IPv4 ACL の統計情報をクリアします。 |
clear ipv6 access-list counters |
すべての IPv6 ACL または特定の IPv6 ACL の統計情報をクリアします。 |
acl-01 という名前の IPv4 ACL を作成し、これをポート ACL としてイーサネット インターフェイス 2/1(レイヤ 2 インターフェイス)に適用する例を示します。
ip access-list acl-01 permit ip 192.168.2.0/24 any interface ethernet 2/1 ip port access-group acl-01 in
acl-120 という名前の IPv6 ACL を作成し、これをルータ ACL としてイーサネット インターフェイス 2/3(レイヤ 3 インターフェイス)に適用する例を示します。
ipv6 access-list acl-120 permit tcp 2001:0db8:85a3::/48 2001:0db8:be03:2112::/64 permit udp 2001:0db8:85a3::/48 2001:0db8:be03:2112::/64 permit tcp 2001:0db8:69f2::/48 2001:0db8:be03:2112::/64 permit udp 2001:0db8:69f2::/48 2001:0db8:be03:2112::/64 interface ethernet 2/3 ipv6 traffic-filter acl-120 in
次に、single-source という名前の VTY ACL を作成し、それを VTY 回線上の入力 IP トラフィックに対して適用する例を示します。この ACL は、通過するすべての TCP トラフィックを許可し、その他のすべての IP トラフィックをドロップします。
ip access-list single-source permit tcp 192.168.7.5/24 any exit line vty ip access-class single-source in show ip access-lists
次の例では、IPv4 ACL ロギングを設定する方法を示します。
switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. switch(config)# ip access-list logging-test switch(config-acl)# permit ip any 2001:DB8:1::1/64 log switch(config-acl)# exit switch(config)# interface ethernet 1/1 switch(config-if)# ip access-group logging-test in switch(config-if)# exit switch(config)# logging ip access-list cache interval 400 switch(config)# logging ip access-list cache entries 100 switch(config)# logging ip access-list cache threshold 900 switch(config)# hardware rate-limiter access-list-log 200 switch(config)# acllog match-log-level 5
IPv4 ACL および IPv6 ACL のルールに送信元と宛先のアドレスおよびプロトコル ポートを指定する際に、オブジェクト グループを使用できます。
Session Manager はオブジェクト グループの設定をサポートしています。この機能を使用すると、設定セッションを作成し、オブジェクト グループの設定変更を実行コンフィギュレーションにコミットする前に確認できます。Session Manager の詳細については、『Cisco Nexus 9000 Series NX-OS System Management Configuration Guide』を参照してください。
IPv4 アドレス グループ オブジェクトの作成および変更を実行できます。
1.
configure terminal
2.
object-group ip addressname
5.
(任意) show object-groupname
6.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | object-group ip addressname
例: switch(config)# object-group ip address ipv4-addr-group-13 switch(config-ipaddr-ogroup)# |
IPv4 アドレス オブジェクト グループを作成し、IPv4 アドレス オブジェクト グループ コンフィギュレーション モードを開始します。 |
ステップ 3 | 次のいずれかのコマンドを入力します。
例: switch(config-ipaddr-ogroup)# host 10.99.32.6 |
オブジェクト グループのエントリを作成します。作成するエントリごとに、host コマンドを使用して単一のホストを指定するか、または host コマンドを省略してホストのネットワークを指定します。 |
ステップ 4 | 次のいずれかのコマンドを入力します。
例: switch(config-ipaddr-ogroup)# no host 10.99.32.6 |
オブジェクト グループのエントリを削除します。オブジェクト グループから削除するエントリごとに、no 形式の host コマンドを使用します。 |
ステップ 5 | show object-groupname
例: switch(config-ipaddr-ogroup)# show object-group ipv4-addr-group-13 | (任意)
オブジェクト グループの設定を表示します。 |
ステップ 6 | copy running-config startup-config 例: switch(config-ipaddr-ogroup)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
IPv6 アドレス グループ オブジェクトの作成および変更を実行できます。
1.
configure terminal
2.
object-group ipv6 addressname
5.
(任意) show object-groupname
6.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | object-group ipv6 addressname
例: switch(config)# object-group ipv6 address ipv6-addr-group-A7 switch(config-ipv6addr-ogroup)# |
IPv6 アドレス オブジェクト グループを作成し、IPv6 アドレス オブジェクト グループ コンフィギュレーション モードを開始します。 |
ステップ 3 | 次のいずれかのコマンドを入力します。
例: switch(config-ipv6addr-ogroup)# host 2001:db8:0:3ab0::1 |
オブジェクト グループのエントリを作成します。作成するエントリごとに、host コマンドを使用して単一のホストを指定するか、または host コマンドを省略してホストのネットワークを指定します。 |
ステップ 4 | 次のいずれかのコマンドを入力します。
例: switch(config-ipv6addr-ogroup)# no host 2001:db8:0:3ab0::1 |
オブジェクト グループからエントリを削除します。オブジェクト グループから削除するエントリごとに、no 形式の host コマンドを使用します。 |
ステップ 5 | show object-groupname
例: switch(config-ipv6addr-ogroup)# show object-group ipv6-addr-group-A7 | (任意)
オブジェクト グループの設定を表示します。 |
ステップ 6 | copy running-config startup-config 例: switch(config-ipv6addr-ogroup)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
プロトコル ポート オブジェクト グループの作成および変更を実行できます。
1.
configure terminal
2.
object-group ip portname
3.
[sequence-number] operatorport-number [port-number]
4.
no {sequence-number | operatorport-number[port-number]}
5.
(任意) show object-groupname
6.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
ステップ 2 | object-group ip portname
例: switch(config)# object-group ip port NYC-datacenter-ports switch(config-port-ogroup)# |
プロトコル ポート オブジェクト グループを作成し、ポート オブジェクト グループ コンフィギュレーション モードを開始します。 | ||
ステップ 3 | [sequence-number] operatorport-number [port-number] 例: switch(config-port-ogroup)# eq 80 |
オブジェクト グループのエントリを作成します。作成するエントリごとに、次の演算子コマンドを 1 つ使用します。
| ||
ステップ 4 | no {sequence-number | operatorport-number[port-number]} 例: switch(config-port-ogroup)# no eq 80 |
オブジェクト グループからエントリを削除します。削除するエントリごとに、該当する演算子コマンドを no 形式で使用します。 | ||
ステップ 5 | show object-groupname
例: switch(config-port-ogroup)# show object-group NYC-datacenter-ports | (任意)
オブジェクト グループの設定を表示します。 | ||
ステップ 6 | copy running-config startup-config 例: switch(config-port-ogroup)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
IPv4 アドレス オブジェクト グループ、IPv6 アドレス オブジェクト グループ、またはプロトコル ポート オブジェクト グループを削除できます。
1.
configure terminal
2.
no object-group {ip address | ipv6 address | ip port} name
3.
(任意) show object-group
4.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | no object-group {ip address | ipv6 address | ip port} name
例: switch(config)# no object-group ip address ipv4-addr-group-A7 |
指定のオブジェクト グループを削除します。 |
ステップ 3 | show object-group
例: switch(config)# show object-group | (任意)
すべてのオブジェクト グループを表示します。削除されたオブジェクト グループは表示されません。 |
ステップ 4 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
オブジェクト グループの設定情報を表示するには、次のいずれかのコマンドを入力します。
コマンド |
目的 |
---|---|
show object-group |
オブジェクト グループの設定を表示します。 |
show {ip | ipv6} access-listsname [expanded] |
ACL 設定の拡張された統計情報を表示します。 |
show running-config aclmgr |
オブジェクト グループを含めて、ACL の設定を表示します。 |
Session Manager は時間範囲の設定をサポートしています。この機能を使用すると、設定セッションを作成し、時間範囲の設定変更を実行コンフィギュレーションにコミットする前に確認できます。Session Manager の詳細については、『Cisco Nexus 9000 Series NX-OS System Management Configuration Guide』を参照してください。
デバイス上で時間範囲を作成し、これにルールを追加できます。
1.
configure terminal
2.
time-rangename
3.
(任意) [sequence-number] periodicweekdaytimeto [weekday] time
4.
(任意) [sequence-number] periodiclist-of-weekdaystimetotime
5.
(任意) [sequence-number] absolute starttimedate [end time date]
6.
(任意) [sequence-number] absolute [start timedate] end time date
7.
(任意) show time-rangename
8.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | time-rangename 例: switch(config)# time-range workday-daytime switch(config-time-range)# |
時間範囲を作成し、時間範囲コンフィギュレーション モードを開始します。 |
ステップ 3 | [sequence-number] periodicweekdaytimeto [weekday] time 例: switch(config-time-range)# periodic monday 00:00:00 to friday 23:59:59 | (任意)
指定開始日時と終了日時の間(両端を含める)の 1 日以上の連続した曜日だけ有効になるような定期ルールを作成します。 |
ステップ 4 | [sequence-number] periodiclist-of-weekdaystimetotime 例: switch(config-time-range)# periodic weekdays 06:00:00 to 20:00:00 | (任意)
list-of-weekdays 引数で指定された曜日の指定開始時刻と終了時刻の間(両端を含む)だけ有効になるような定期ルールを作成します。list-of-weekdays 引数の値には次のキーワードも使用できます。 |
ステップ 5 | [sequence-number] absolute starttimedate [end time date] 例: switch(config-time-range)# absolute start 1:00 15 march 2013 | (任意)
start キーワードの後ろに指定した日時から有効になる絶対ルールを作成します。end キーワードを省略すると、そのルールは開始日時を過ぎると常に有効になります。 |
ステップ 6 | [sequence-number] absolute [start timedate] end time date 例: switch(config-time-range)# absolute end 23:59:59 31 may 2013 | (任意)
end キーワードの後ろに指定した日時まで有効になる絶対ルールを作成します。start キーワードを省略すると、そのルールは終了日時を過ぎるまで常に有効です。 |
ステップ 7 | show time-rangename 例: switch(config-time-range)# show time-range workday-daytime | (任意)
時間範囲の設定を表示します。 |
ステップ 8 | copy running-config startup-config 例: switch(config-time-range)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
既存の時間範囲のルールの追加および削除を実行できます。既存のルールは変更できません。ルールを変更するには、そのルールを削除してから、変更を加えたルールを再作成します。
既存のルールの間に新しいルールを挿入する必要がある場合で、現在のシーケンス番号の空き状況ではすべてを挿入できないときは、resequence コマンドを使用してシーケンス番号を再割り当てします。
1.
configure terminal
2.
time-rangename
3.
(任意) [sequence-number] periodicweekdaytimeto [weekday] time
4.
(任意) [sequence-number] periodiclist-of-weekdaystimetotime
5.
(任意) [sequence-number] absolutestarttimedate [end time date]
6.
(任意) [sequence-number] absolute [starttimedate] end time date
7.
(任意) no {sequence-number | periodicarguments ...| absolutearguments...}
8.
(任意) show time-rangename
9.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | time-rangename
例: switch(config)# time-range workday-daytime switch(config-time-range)# |
特定の時間範囲の時間範囲コンフィギュレーション モードを開始します。 |
ステップ 3 | [sequence-number] periodicweekdaytimeto [weekday] time
例: switch(config-time-range)# periodic monday 00:00:00 to friday 23:59:59 | (任意)
指定開始日時と終了日時の間(両端を含める)の 1 日以上の連続した曜日だけ有効になるような定期ルールを作成します。 |
ステップ 4 | [sequence-number] periodiclist-of-weekdaystimetotime
例: switch(config-time-range)# 100 periodic weekdays 05:00:00 to 22:00:00 | (任意)
list-of-weekdays 引数で指定された曜日の指定開始時刻と終了時刻の間(両端を含む)だけ有効になるような定期ルールを作成します。list-of-weekdays 引数の値には次のキーワードも使用できます。 |
ステップ 5 | [sequence-number] absolutestarttimedate [end time date]
例: switch(config-time-range)# absolute start 1:00 15 march 2013 | (任意)
start キーワードの後ろに指定した日時から有効になる絶対ルールを作成します。end キーワードを省略すると、そのルールは開始日時を過ぎると常に有効になります。 |
ステップ 6 | [sequence-number] absolute [starttimedate] end time date 例: switch(config-time-range)# absolute end 23:59:59 31 may 2013 | (任意)
end キーワードの後ろに指定した日時まで有効になる絶対ルールを作成します。start キーワードを省略すると、そのルールは終了日時を過ぎるまで常に有効です。 |
ステップ 7 | no {sequence-number | periodicarguments ...| absolutearguments...}
例: switch(config-time-range)# no 80 | (任意)
時間範囲から特定のルールを削除します。 |
ステップ 8 | show time-rangename
例: switch(config-time-range)# show time-range workday-daytime | (任意)
時間範囲の設定を表示します。 |
ステップ 9 | copy running-config startup-config 例: switch(config-time-range)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
デバイスから時間範囲を削除できます。
その時間範囲が ACL ルールのいずれかに使用されているかどうかを確認します。削除できるのは、ACL ルールに使用されている時間範囲です。ACL ルールに使用されている時間範囲を削除しても、その ACL が適用されているインターフェイスの設定には影響しません。デバイスは削除された時間範囲を使用する ACL ルールを空であると見なします。
1.
configure terminal
2.
notime-rangename
3.
(任意) show time-range
4.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | notime-rangename
例: switch(config)# no time-range daily-workhours |
名前を指定した時間範囲を削除します。 |
ステップ 3 | show time-range
例: switch(config-time-range)# show time-range | (任意)
すべての時間範囲の設定を表示します。削除された時間範囲は表示されません。 |
ステップ 4 | copy running-config startup-config 例: switch# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
時間範囲のルールに割り当てられているすべてのシーケンス番号を変更できます。
1.
configure terminal
2.
resequencetime-rangenamestarting-sequence-numberincrement
3.
(任意) show time-rangename
4.
(任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | resequencetime-rangenamestarting-sequence-numberincrement
例: switch(config)# resequence time-range daily-workhours 100 10 switch(config)# |
時間範囲のルールにシーケンス番号を割り当てます。指定した開始シーケンス番号は最初のルールに割り当てられます。後続の各ルールには、直前のルールよりも大きい番号が付けられます。番号の間隔は、指定した増分によって決まります。 |
ステップ 3 | show time-rangename
例: switch(config)# show time-range daily-workhours | (任意)
時間範囲の設定を表示します。 |
ステップ 4 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
コマンド |
目的 |
---|---|
show time-range |
時間範囲の設定を表示します。 |
show running-config aclmgr |
すべての時間範囲を含めて、ACL の設定を表示します。 |
関連項目 |
マニュアル タイトル |
---|---|
TAP アグリゲーション |