VLAN ACL について
VACL のライセンス要件
VACL の前提条件
VACL の注意事項と制約事項
VACL のデフォルト設定
VACL の設定
VACL 設定の確認
VACL 統計情報のモニタリングとクリア
VACL の設定例
VACL に関する追加情報

VLAN ACL の設定

この章では、Cisco NX-OS デバイスの VLAN ACL（アクセスリスト）の設定方法を説明します。

この章は、次の項で構成されています。

VLAN ACL について
VACL のライセンス要件
VACL の前提条件
VACL の注意事項と制約事項
VACL のデフォルト設定
VACL の設定
VACL 設定の確認
VACL 統計情報のモニタリングとクリア
VACL の設定例
VACL に関する追加情報

VLAN ACL について

VLAN ACL（VACL）は、MAC ACL または IP ACL の適用例の 1 つです。VACL を設定し、VLAN との間でルーティングされるかまたは VLAN 内でブリッジングされるすべてのパケットに適用できます。VACL は、セキュリティパケットフィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトだけを目的としたものです。VACL は方向（入力または出力）で定義されることはありません。

VLAN アクセスマップとエントリ
VACL とアクション
VACL の統計情報
VACL に対する Session Manager のサポート

関連コンセプト

ACL について

VLAN アクセスマップとエントリ

VACL は、アクセスマップを使用して、1 つまたは複数のマップエントリを順序化したリストを収容します。各マップエントリは、IP または MAC ACL を処理に関連付けます。各エントリにはシーケンス番号が付き、これに基づいてエントリの優先度を管理できます。

デバイスがパケットに VACL を適用する際、パケットを許可する ACL を含む最初のアクセスマップエントリで設定されている処理を適用します。

VACL とアクション

アクセスマップコンフィギュレーションモードでは、action コマンドを使用して、次のいずれかのアクションを指定します。

Forward: デバイスの通常の動作によって決定された宛先にトラフィックを送信します。
Redirect: 1 つまたは複数の指定インターフェイスにトラフィックをリダイレクトします。
Drop: トラフィックをドロップします。ドロップを処理として指定する場合、ドロップされたパケットのログをデバイスが記録するよう指定することもできます。

VACL の統計情報

VACL の各ルールのグローバル統計が維持されます。VACL を複数の VLAN に適用した場合、保持されるルール統計情報は、その VACL が適用されている各インターフェイス上で一致（ヒット）したパケットの総数になります。

（注）

インターフェイスレベルの VACL 統計はサポートされていません。

設定する VLAN アクセスマップごとに、その VACL の統計情報を維持するかどうかを指定できます。この機能を使用すると、VACL によってフィルタリングされたトラフィックのモニタが必要かどうかに応じて、あるいは VLAN アクセスマップの設定のトラブルシューティングが必要かどうかに応じて、VACL 統計をオンまたはオフにできます。

関連コンセプト

VACL 統計情報のモニタリングとクリア

VACL に対する Session Manager のサポート

Session Manager は VACL の設定をサポートしています。この機能によって、ACL の設定を確認し、設定を実行コンフィギュレーションにコミットする前に、その設定が必要とするリソースが利用可能かどうかを確認できます。Session Manager の詳細については、『Cisco Nexus 9000 Series NX-OS System Management Configuration Guide』を参照してください。

VACL のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品	ライセンス要件
Cisco NX-OS	VACL にはライセンスは必要ありません。ライセンスパッケージに含まれていない機能はイメージにバンドルされており、無料で提供されます。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

VACL の前提条件

VACL の前提条件は次のとおりです。

VACL に使用する IP ACL または MAC ACL が存在し、必要な方法でトラフィックをフィルタリングするように設定されていることを確認します。

VACL の注意事項と制約事項

VACL の設定に関する注意事項は次のとおりです。

ACL の設定には Session Manager を使用することを推奨します。この機能によって、ACL の設定を確認し、設定を実行コンフィギュレーションにコミットする前に、その設定が必要とするリソースが利用可能かどうかを確認できます。Session Manager の詳細については、『Cisco Nexus 9000 Series NX-OS System Management Configuration Guide』を参照してください。
適用する ACL エントリが多すぎると、設定が拒否される可能性があります。
SPAN 宛先ポートへの VACL リダイレクトはサポートされません。
VACL のロギングはサポートされません。
TCAM リソースは、VACL を複数の VLAN で適用する場合、共有されません。
VXLAN の VACL には、次のガイドラインが適用されます。
- アクセスからネットワーク方向（レイヤ 2 からレイヤ 3 のカプセル化パス）の VXLAN VLAN に適用される VACL は、内部ペイロードでサポートされます。
- VACL をアクセス側で使用して、オーバーレイネットワークに進入するトラフィックをフィルタ処理して除外することを推奨します。
- カプセル化解除された VXLAN トラフィックでの出力 VACL は、サポートされません。

VACL のデフォルト設定

次の表に、VACL パラメータのデフォルト設定値を示します。

表 1 VACL のデフォルトパラメータ
パラメータ	デフォルト
VACL	デフォルトでは IP ACL は存在しません。
ACL ルール	すべての ACL に暗黙のルールが適用されます。

VACL の作成または VACL エントリの追加

VACL エントリを新規作成したり、既存の VACL にエントリを追加できます。どちらの場合も、作成した VACL エントリが、1 つまたは複数の ACL を一致トラフィックに適用される処理と関連付ける VLAN アクセスマップエントリとなります。

はじめる前に

VACL に使用する ACL が存在し、目的に応じたトラフィックフィルタリングが設定されていることを確認します。

手順の概要

1. configure terminal

2. vlan access-mapmap-name [sequence-number]

3. 次のいずれかのコマンドを入力します。

match {ip | ipv6} addressip-access-list
matchmacaddressmac-access-list

4. action{drop | forward | redirect}

5. （任意） [no] statistics per-entry

6. （任意） show running-config aclmgr

7. （任意） copy running-config startup-config

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例： switch# configure terminal switch(config)#	グローバルコンフィギュレーションモードを開始します。
ステップ 2	vlan access-mapmap-name [sequence-number] 例： switch(config)# vlan access-map acl-mac-map switch(config-access-map)#	指定した VLAN アクセスマップの VLAN アクセスマップコンフィギュレーションモードを開始します。VLAN アクセスマップが存在しない場合は、デバイスによって作成されます。シーケンス番号を指定しなかった場合、デバイスによって新しいエントリが作成され、このシーケンス番号はアクセスマップの最後のシーケンス番号よりも 10 大きい番号となります。
ステップ 3	次のいずれかのコマンドを入力します。 match {ip \| ipv6} addressip-access-list matchmacaddressmac-access-list 例： switch(config-access-map)# match mac address acl-ip-lab 例： switch(config-access-map)# match mac address acl-mac-01	アクセスマップエントリに ACL を指定します。
ステップ 4	action{drop \| forward \| redirect} 例： switch(config-access-map)# action forward	ACL に一致したトラフィックにデバイスが適用する処理を指定します。 action コマンドはさまざまなオプションをサポートしています。
ステップ 5	[no] statistics per-entry 例： switch(config-access-map)# statistics per-entry	（任意）その VACL のルールと一致するパケットのグローバル統計をデバイスが維持するように設定します。 no オプションを使用すると、デバイスはその VACL のグローバル統計の維持を停止します。
ステップ 6	show running-config aclmgr 例： switch(config-access-map)# show running-config aclmgr	（任意） ACL の設定を表示します。
ステップ 7	copy running-config startup-config 例： switch(config-access-map)# copy running-config startup-config	（任意）実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

VACL または VACL エントリの削除

VACL を削除できます。これにより、VLAN アクセスマップも削除されます。

また、VACL から単一の VLAN アクセスマップエントリを削除することもできます。

はじめる前に

その VACL が VLAN に適用されているかどうかを確認します。削除できるのは、現在適用されている VACL です。VACL を削除しても、その VACL が適用されていた VLAN の設定は影響を受けません。デバイスは削除された VACL を空であると見なします。

手順の概要

1. configure terminal

2. no vlan access-mapmap-name [sequence-number]

3. （任意） show running-config aclmgr

4. （任意） copy running-config startup-config

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例： switch# configure terminal switch(config)#	グローバルコンフィギュレーションモードを開始します。
ステップ 2	no vlan access-mapmap-name [sequence-number] 例： switch(config)# no vlan access-map acl-mac-map 10	指定したアクセスマップの VLAN アクセスマップの設定を削除します。`sequence-number` 引数を指定して、VACL に複数のエントリが含まれる場合、このコマンドにより指定したエントリだけが削除されます。
ステップ 3	show running-config aclmgr 例： switch(config)# show running-config aclmgr	（任意） ACL の設定を表示します。
ステップ 4	copy running-config startup-config 例： switch(config)# copy running-config startup-config	（任意）実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

VACL の VLAN への適用

VACL を VLAN に適用できます。

はじめる前に

VACL を適用する際には、その VACL が存在し、目的に応じたトラフィックフィルタリングが設定されていることを確認します。

手順の概要

1. configure terminal

2. [no] vlan filtermap-namevlan-listlist

3. （任意） show running-config aclmgr

4. （任意） copy running-config startup-config

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例： switch# configure terminal switch(config)#	グローバルコンフィギュレーションモードを開始します。
ステップ 2	[no] vlan filtermap-namevlan-listlist 例： switch(config)# vlan filter acl-mac-map vlan-list 1-20,26-30 switch(config)#	指定したリストによって、VACL を VLAN に適用します。no を使用すると、VACL の適用が解除されます。
ステップ 3	show running-config aclmgr 例： switch(config)# show running-config aclmgr	（任意） ACL の設定を表示します。
ステップ 4	copy running-config startup-config 例： switch(config)# copy running-config startup-config	（任意）実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

VACL 設定の確認

VACL 設定情報を表示するには、次のいずれかの作業を実行します。

コマンド

目的

show running-config aclmgr [all]

VACL-related の設定も含めて、ACL の設定を表示します。

（注）

このコマンドは、実行コンフィギュレーションのユーザ設定 ACL を表示します。all オプションを使用すると、実行コンフィギュレーションのデフォルト（CoPP 設定）とユーザ定義による ACL の両方が表示されます。

show startup-config aclmgr [all]

ACL のスタートアップコンフィギュレーションを表示します。

（注）

このコマンドは、スタートアップコンフィギュレーションのユーザ設定 ACL を表示します。all オプションを使用すると、スタートアップコンフィギュレーションのデフォルト（CoPP 設定）とユーザ定義による ACL の両方が表示されます。

show vlan filter

VLAN に適用されている VACL の情報を表示します。

show vlan access-map

VLAN アクセスマップに関する情報を表示します。

VACL 統計情報のモニタリングとクリア

VACL の統計情報をモニタまたはクリアを行うには、次の表に示すコマンドのいずれかを使用します。

コマンド	目的
show vlan access-list	VACL の設定を表示します。VLAN アクセスマップに statistics per-entry コマンドが含まれている場合は、show vlan access-list コマンドの出力に、各ルールと一致したパケットの数が含まれます。
clear vlan access-list counters	VACL の統計情報をクリアします。

VACL の設定例

次の例では、acl-mac-01 という名前の MAC ACL で許可されたトラフィックを転送する VACL を設定し、その VACL を VLAN 50 ～ 82 に適用します。

conf t 
vlan access-map acl-mac-map
  match mac address acl-mac-01
  action forward 
vlan filter acl-mac-map vlan-list 50-82

Cisco Nexus 9000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 7.x

偏向のない言語

翻訳について

Book Title

Cisco Nexus 9000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 7.x

Chapter Title

VLAN ACL の設定

検索結果

章のタイトル： VLAN ACL の設定

VLAN ACL の設定