- はじめに
- 新機能および変更された機能に関する情報
- 概要
- FIPS の設定
- AAA の設定
- RADIUS の設定
- 「Configuring TACACS+」
- LDAP の設定
- SSH および Telnet の設定
- PKI の設定
- ユーザ アカウントおよび RBAC の設定
- 802.1X の設定
- NAC の設定
- Cisco TrustSec の設定
- IP ACL の設定
- MAC ACL の設定
- VLAN ACL の設定
- ポート セキュリティの設定
- DHCP の設定
- ダイナミック ARP インスペクションの設定
- IP ソース ガードの設定
- パスワード暗号化の設定
- キーチェーン管理の設定
- トラフィック ストーム制御の設定
- ユニキャスト RPF の設定
- コントロール プレーン ポリシングの設定
- レート制限の設定
Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィグレーション ガイド、リリース 6.x
- Updated:
- 2017年6月12日
章のタイトル: VLAN ACL の設定
VLAN ACL の設定
この章では、Cisco NX-OS デバイスの VLAN ACL(アクセス リスト)の設定方法を説明します。
この章は、次の項で構成されています。
- 機能情報の確認
- VLAN ACL の概要
- VACL のライセンス要件
- VACL の前提条件
- VACL の注意事項と制約事項
- VACL のデフォルト設定
- VACL の設定
- VACL 設定の確認
- VACL 統計情報のモニタリングとクリア
- VACL の設定例
- VACL に関する追加情報
- VLAN ACL の機能の履歴
機能情報の確認
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
VLAN ACL の概要
VLAN ACL(VACL)は、IP ACL または MAC ACL の適用例の 1 つです。VACL を設定し、VLAN との間でルーティングされるかまたは VLAN 内でブリッジングされるすべてのパケットに適用できます。VACL は、セキュリティ パケット フィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトだけを目的としたものです。VACL は方向(入力または出力)で定義されることはありません。
VLAN アクセス マップとエントリ
VACL は、アクセス マップを使用して、1 つまたは複数のマップ エントリを順序化したリストを収容します。各マップ エントリは、IP ACL または MAC ACL を処理に関連付けます。各エントリにはシーケンス番号が付き、これに基づいてエントリの優先度を管理できます。
デバイスがパケットに VACL を適用する際、パケットを許可する ACL を含む最初のアクセス マップ エントリで設定されている処理を適用します。
VACL とアクション
アクセス マップ コンフィギュレーション モードでは、action コマンドを使用して、次のいずれかのアクションを指定します。
- Forward
-
スイッチの通常の動作によって決定された宛先にトラフィックを送信します。
- リダイレクト
-
1 つまたは複数の指定インターフェイスにトラフィックをリダイレクトします。
- ドロップ
-
トラフィックをドロップします。ドロップを処理として指定する場合、ドロップされたパケットのログをデバイスが記録するよう指定することもできます。
VACL の統計情報
VACL の各ルールのグローバル統計が維持されます。VACL を複数の VLAN に適用した場合、保持されるルール統計情報は、その VACL が適用されている各インターフェイス上で一致(ヒット)したパケットの総数になります。
 (注) |
インターフェイスレベルの VACL 統計はサポートされていません。 |
設定する VLAN アクセス マップごとに、その VACL の統計情報を維持するかどうかを指定できます。この機能を使用すると、VACL によってフィルタリングされたトラフィックのモニタが必要かどうかに応じて、あるいは VLAN アクセスマップの設定のトラブルシューティングが必要かどうかに応じて、VACL 統計をオンまたはオフにできます。
VACL に対する Session Manager のサポート
Session Manager は VACL の設定をサポートしています。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。
VACL のバーチャライゼーション サポート
仮想デバイス コンテキスト(VDC)で使用される VACL には、次の事項が適用されます。
VACL のライセンス要件
|
製品 |
ライセンス要件 |
|---|---|
|
Cisco NX-OS |
VACL にはライセンスは必要ありません。ただし、XL ラインカードを使用して最大 128,000 の ACL エントリをサポートするには、スケーラブルなサービス ライセンスをインストールする必要があります。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
VACL の前提条件
VACL の前提条件は次のとおりです。
VACL の注意事項と制約事項
VACL の設定に関する注意事項は次のとおりです。
-
ACL の設定には Session Manager を使用することを推奨します。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。
-
DHCP スヌーピング機能がイネーブルのときには、ACL の統計情報はサポートされません。
-
サポートされる VACL エントリの最大数は、XL ラインカードを使用しないデバイスで 64,000、XL ラインカードを使用するデバイスで 128,000 です。
-
XL 以外のラインカードに適用する ACL エントリが多すぎると、設定が拒否されます。
-
F1 シリーズ モジュールの各転送エンジンは 1000 の入力 ACL エントリをサポートします。また、984 のエントリがユーザ設定に使用できます。F1 シリーズ モジュール用の VACL エントリの総数は 1000 ~ 16,000 です。転送エンジンに応じてポリシーが適用されます。
-
F1 シリーズ モジュール内の 16 の各転送エンジンは、複数の ACL にわたる最大 250 の IPv6 アドレスをサポートしています。
-
F1 シリーズ モジュールには、ACL ロギングをサポートしていません。
-
F1 シリーズ モジュールはバンク チェーニングをサポートしていません。
-
各 VACL は、F1 シリーズ モジュールでの最大 6 つの異なるレイヤ 4 動作をサポートできます。
-
F1 シリーズ モジュールの同じポートの複数の VLAN(たとえば、VLAN 10、20)上で同じ ACL が適用される場合は、複数回(この場合は、VLAN 10 上と VLAN 20 上で)プログラミングされます。
-
F2 シリーズ モジュールの 12 の転送エンジンごとに、総数 16,000 の TCAM エントリが 2 つのバンクに対して均等に分割されます。デフォルトの 168 エントリが予約されます。各転送エンジンは、512 の IPv6 圧縮 TCAM エントリを持ちます。
-
SPAN 宛先ポートへの VACL リダイレクトはサポートされません。
-
F2 シリーズ、M1 シリーズ、および M2 シリーズ モジュールのみがシーケンス中の拒否 ACE をサポートします。
-
拒否 ACE サポートの統計は、次のシーケンス ベース機能の終了シーケンスでのみサポートされます: VACL、ポリシーベース ルーティング(PBR)、および Quality Of Service(QoS)。
VACL のデフォルト設定
|
パラメータ(Parameters) |
デフォルト |
|---|---|
|
VACL |
デフォルトでは IP ACL は存在しません。 |
|
ACL ルール |
すべての ACL に暗黙のルールが適用されます。 |
|
拒否 ACE サポート |
ディセーブル |
VACL の設定
VACL の作成または VACL エントリの追加
VACL エントリを新規作成したり、既存の VACL にエントリを追加できます。どちらの場合も、作成した VACL エントリが、1 つまたは複数の ACL を一致トラフィックに適用される処理と関連付ける VLAN アクセス マップ エントリとなります。
VACL に使用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。
1.
configure terminal
2.
vlan access-map map-name [sequence-number]
4.
action {drop | forward | redirect}
5.
(任意) [no] statistics per-entry
6.
(任意) show running-config aclmgr
7.
(任意) copy running-config startup-config
手順の詳細
VACL または VACL エントリの削除
VACL を削除できます。これにより、VLAN アクセス マップも削除されます。
また、VACL から単一の VLAN アクセス マップ エントリを削除することもできます。
その VACL が VLAN に適用されているかどうかを確認します。削除できるのは、現在適用されている VACL です。VACL を削除しても、その VACL が適用されていた VLAN の設定は影響を受けません。デバイスは削除された VACL を空であると見なします。
1.
configure terminal
2.
no vlan access-map map-name [sequence-number]
3.
(任意) show running-config aclmgr
4.
(任意) copy running-config startup-config
手順の詳細
VACL の VLAN への適用
VACL を VLAN に適用できます。
VACL を適用する際には、その VACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。
1.
configure terminal
2.
[no] vlan filter map-name vlan-list list
3.
(任意) show running-config aclmgr
4.
(任意) copy running-config startup-config
手順の詳細
拒否 ACE サポートの設定
デフォルトまたは管理者 VDC にいることを確認します。
1.
configure terminal
2.
[no] hardware access-list allow deny ace
3.
(任意) show running-config aclmgr
4.
(任意) copy running-config startup-config
手順の詳細
VACL 設定の確認
|
コマンド |
目的 |
||
|---|---|---|---|
|
show running-config aclmgr[all] |
VACL-related の設定も含めて、ACL の設定を表示します。
|
||
|
show startup-config aclmgr [all] |
ACL のスタートアップ コンフィギュレーションを表示します。
|
||
|
show vlan filter |
VLAN に適用されている VACL の情報を表示します。 |
||
|
show vlan access-map |
VLAN アクセス マップに関する情報を表示します。 |
VACL 統計情報のモニタリングとクリア
|
コマンド |
目的 |
|---|---|
|
show vlan access-list |
VACL の設定を表示します。VLAN アクセス マップに statistics per-entry コマンドが含まれている場合は、show vlan access-list コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
|
clear vlan access-list counters |
すべての VACL、または特定の VACL の統計情報を消去します。 |
VACL の設定例
次の例では、acl-mac-01 という名前の MAC ACL で許可されたトラフィックを転送する VACL を設定し、その VACL を VLAN 50 ~ 82 に適用します。
conf t vlan access-map acl-mac-map match mac address acl-mac-01 action forward vlan filter acl-mac-map vlan-list 50-82
VACL に関する追加情報
関連資料
|
関連項目 |
マニュアル タイトル |
|---|---|
|
VACL のコマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例 |
『Cisco Nexus 7000 Series NX-OS Security Command Reference』 |
|
ポリシー ベース ルーティング (PBR) 設定 |
『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』 |
|
QoS の設定 |
『Cisco Nexus 7000 Series NX-OS Quality of Service Configuration Guide』 |
標準
|
標準 |
Title |
|---|---|
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
VLAN ACL の機能の履歴
|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
VLAN ACL |
6.1(3) |
シーケンス中の拒否 ACE に対するサポートが追加されました。 |
|
VLAN ACL |
6.0(1) |
F2 シリーズ モジュールが更新されました。 |
|
VLAN ACL |
5.2(1) |
実行コンフィギュレーションとスタートアップ コンフィギュレーションでユーザ設定 ACL だけを表示する(およびデフォルトの CoPP 設定 ACL を表示しない)ように、show running-config aclmgr コマンドと show startup-config aclmgr コマンドが変更されました。 |
|
VLAN ACL |
5.1(1) |
Release 5.0 以降、変更はありません。 |
|
VLAN ACL |
5.0(2) |
スケーラブルなサービス ライセンスがインストールされており、XL ラインカードを使用している場合、最大 128,000 の ACL エントリがサポートされるようになりました。 |
|
VLAN アクセス マップ |
4.2(1) |
リリース 4.1 からの変更はありません。 |
フィードバック