VLAN ACL の設定
この章では、Cisco NX-OS デバイスの VLAN ACL(アクセス リスト)の設定方法を説明します。
この章は、次の項で構成されています。
機能情報の確認
ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/ の Bug Search Tool およびご使用のソフトウェア リリースのリリース ノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」表を参照してください。
VLAN ACL の概要
VLAN ACL(VACL)は、IP ACL または MAC ACL の適用例の 1 つです。VACL を設定し、VLAN との間でルーティングされるかまたは VLAN 内でブリッジングされるすべてのパケットに適用できます。VACL は、セキュリティ パケット フィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトだけを目的としたものです。VACL は方向(入力または出力)で定義されることはありません。
VLAN アクセス マップとエントリ
VACL は、アクセス マップを使用して、1 つまたは複数のマップ エントリを順序化したリストを収容します。各マップ エントリは、IP ACL または MAC ACL を処理に関連付けます。各エントリにはシーケンス番号が付き、これに基づいてエントリの優先度を管理できます。
デバイスがパケットに VACL を適用する際、パケットを許可する ACL を含む最初のアクセス マップ エントリで設定されている処理を適用します。
VACL とアクション
アクセス マップ コンフィギュレーション モードでは、action コマンドを使用して、次のいずれかのアクションを指定します。
- Forward
-
スイッチの通常の動作によって決定された宛先にトラフィックを送信します。
- リダイレクト
-
1 つまたは複数の指定インターフェイスにトラフィックをリダイレクトします。
- ドロップ
-
トラフィックをドロップします。ドロップを処理として指定する場合、ドロップされたパケットのログをデバイスが記録するよう指定することもできます。
VACL の統計情報
VACL の各ルールのグローバル統計が維持されます。VACL を複数の VLAN に適用した場合、保持されるルール統計情報は、その VACL が適用されている各インターフェイス上で一致(ヒット)したパケットの総数になります。

(注) |
インターフェイスレベルの VACL 統計はサポートされていません。
|
設定する VLAN アクセス マップごとに、その VACL の統計情報を維持するかどうかを指定できます。この機能を使用すると、VACL によってフィルタリングされたトラフィックのモニタが必要かどうかに応じて、あるいは VLAN アクセスマップの設定のトラブルシューティングが必要かどうかに応じて、VACL 統計をオンまたはオフにできます。
VACL に対する Session Manager のサポート
Session Manager は VACL の設定をサポートしています。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。
VACL のバーチャライゼーション サポート
仮想デバイス コンテキスト(VDC)で使用される VACL には、次の事項が適用されます。
-
ACL は各 VDC に固有です。ある VDC に作成した ACL は別の VDC に使用できません。
-
ACL が複数の VDC に共有されることはないので、ACL 名は他の VDC に再利用できます。
-
デバイスは、ACL やルールを VDC 単位では制限しません。
VACL のライセンス要件
次の表に、この機能のライセンス要件を示します。
製品
|
ライセンス要件
|
Cisco NX-OS
|
VACL にはライセンスは必要ありません。ただし、XL ラインカードを使用して最大 128,000 の ACL エントリをサポートするには、スケーラブルなサービス ライセンスをインストールする必要があります。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。
|
VACL の注意事項と制約事項
VACL の設定に関する注意事項は次のとおりです。
-
ACL の設定には Session Manager を使用することを推奨します。この機能を使用すると、ACL の設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィギュレーションにコミットする前に確認できます。Session Manager の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。
-
DHCP スヌーピング機能がイネーブルのときには、ACL の統計情報はサポートされません。
-
サポートされる VACL エントリの最大数は、XL ラインカードを使用しないデバイスで 64,000、XL ラインカードを使用するデバイスで 128,000 です。
-
XL 以外のラインカードに適用する ACL エントリが多すぎると、設定が拒否されます。
-
F1 シリーズ モジュールの各転送エンジンは 1000 の入力 ACL エントリをサポートします。また、984 のエントリがユーザ設定に使用できます。F1 シリーズ モジュール用の VACL エントリの総数は 1000 ~ 16,000 です。転送エンジンに応じてポリシーが適用されます。
-
F1 シリーズ モジュール内の 16 の各転送エンジンは、複数の ACL にわたる最大 250 の IPv6 アドレスをサポートしています。
-
F1 シリーズ モジュールには、ACL ロギングをサポートしていません。
-
F1 シリーズ モジュールはバンク チェーニングをサポートしていません。
-
各 VACL は、F1 シリーズ モジュールでの最大 6 つの異なるレイヤ 4 動作をサポートできます。
-
F1 シリーズ モジュールの同じポートの複数の VLAN(たとえば、VLAN 10、20)上で同じ ACL が適用される場合は、複数回(この場合は、VLAN 10 上と VLAN 20 上で)プログラミングされます。
-
F2 シリーズ モジュールの 12 の転送エンジンごとに、総数 16,000 の TCAM エントリが 2 つのバンクに対して均等に分割されます。デフォルトの 168 エントリが予約されます。各転送エンジンは、512 の IPv6 圧縮 TCAM エントリを持ちます。
-
SPAN 宛先ポートへの VACL リダイレクトはサポートされません。
-
F2 シリーズ、M1 シリーズ、および M2 シリーズ モジュールのみがシーケンス中の拒否 ACE をサポートします。
-
拒否 ACE サポートの統計は、次のシーケンス ベース機能の終了シーケンスでのみサポートされます: VACL、ポリシーベース ルーティング(PBR)、および Quality Of Service(QoS)。
VACL のデフォルト設定
次の表に、VACL パラメータのデフォルト設定値を示します。
表 1 VACL のデフォルト パラメータ
パラメータ(Parameters)
|
デフォルト
|
VACL
|
デフォルトでは IP ACL は存在しません。
|
ACL ルール
|
すべての ACL に暗黙のルールが適用されます。
|
拒否 ACE サポート
|
ディセーブル
|
VACL の設定
VACL の作成または VACL エントリの追加
VACL エントリを新規作成したり、既存の VACL にエントリを追加できます。どちらの場合も、作成した VACL エントリが、1 つまたは複数の ACL を一致トラフィックに適用される処理と関連付ける VLAN アクセス マップ エントリとなります。
はじめる前に
VACL に使用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。
手順の概要
1.
configure terminal
2.
vlan access-map map-name [sequence-number]
3.
次のいずれかのコマンドを入力します。
-
match {ip | ipv6} addressip-access-list
-
matchmacaddressmac-access-list
4.
action {drop | forward | redirect}
5.
(任意) [no] statistics per-entry
6.
(任意) show running-config aclmgr
7.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | vlan access-map map-name [sequence-number]
例:
switch(config)# vlan access-map acl-mac-map
switch(config-access-map)#
|
指定した VLAN アクセス マップの VLAN アクセス マップ コンフィギュレーション モードを開始します。VLAN アクセス マップが存在しない場合は、デバイスによって作成されます。
シーケンス番号を指定しなかった場合、デバイスによって新しいエントリが作成され、このシーケンス番号はアクセス マップの最後のシーケンス番号よりも 10 大きい番号となります。
|
ステップ 3 | 次のいずれかのコマンドを入力します。
-
match {ip | ipv6} addressip-access-list
-
matchmacaddressmac-access-list
例:
switch(config-access-map)# match mac address acl-ip-lab
例:
switch(config-access-map)# match mac address acl-mac-01
|
アクセス マップ エントリに ACL を指定します。
|
ステップ 4 | action {drop | forward | redirect}
例:
switch(config-access-map)# action forward
|
ACL に一致したトラフィックにデバイスが適用する処理を指定します。
action コマンドはさまざまなオプションをサポートしています。詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。
|
ステップ 5 | [no] statistics per-entry
例:
switch(config-access-map)# statistics per-entry
| (任意)
その VACL のルールと一致するパケットのグローバル統計をデバイスが維持するように設定します。
no オプションを使用すると、デバイスはその VACL のグローバル統計の維持を停止します。
|
ステップ 6 | show running-config aclmgr
例:
switch(config-access-map)# show running-config aclmgr
| (任意)
ACL の設定を表示します。
|
ステップ 7 | copy running-config startup-config
例:
switch(config-access-map)# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
VACL または VACL エントリの削除
VACL を削除できます。これにより、VLAN アクセス マップも削除されます。
また、VACL から単一の VLAN アクセス マップ エントリを削除することもできます。
はじめる前に
その VACL が VLAN に適用されているかどうかを確認します。削除できるのは、現在適用されている VACL です。VACL を削除しても、その VACL が適用されていた VLAN の設定は影響を受けません。デバイスは削除された VACL を空であると見なします。
手順の概要
1.
configure terminal
2.
no vlan access-map map-name [sequence-number]
3.
(任意) show running-config aclmgr
4.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | no vlan access-map map-name [sequence-number]
例:
switch(config)# no vlan access-map acl-mac-map 10
|
指定したアクセス マップの VLAN アクセス マップの設定を削除します。sequence-number 引数を指定して、VACL に複数のエントリが含まれる場合、このコマンドにより指定したエントリだけが削除されます。
|
ステップ 3 | show running-config aclmgr
例:
switch(config)# show running-config aclmgr
| (任意)
ACL の設定を表示します。
|
ステップ 4 | copy running-config startup-config
例:
switch(config)# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
VACL の VLAN への適用
はじめる前に
VACL を適用する際には、その VACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。
手順の概要
1.
configure terminal
2.
[no] vlan filter map-name vlan-list list
3.
(任意) show running-config aclmgr
4.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] vlan filter map-name vlan-list list
例:
switch(config)# vlan filter acl-mac-map vlan-list 1-20,26-30
switch(config)#
|
指定したリストによって、VACL を VLAN に適用します。no を使用すると、VACL の適用が解除されます。
|
ステップ 3 | show running-config aclmgr
例:
switch(config)# show running-config aclmgr
| (任意)
ACL の設定を表示します。
|
ステップ 4 | copy running-config startup-config
例:
switch(config)# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
拒否 ACE サポートの設定
シーケンス ベースの機能である VACL、ポリシー ベース ルーティング(PBR)、および QoS について、シーケンス内の拒否アクセス コントロール エントリ(ACE)をサポートするようにデバイスを設定できます。拒否 ACE がイネーブルの場合、class-map-acl 内の deny ACE(deny キーワードをともなった ACL ルール)に一致するトラフィックは、permit ACE にヒットするまで、後に続く class-map-acl と再帰的に照合されます。
はじめる前に
デフォルトまたは管理者 VDC にいることを確認します。
手順の概要
1.
configure terminal
2.
[no] hardware access-list allow deny ace
3.
(任意) show running-config aclmgr
4.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 |
ステップ 1 | configure terminal
例:
switch# configure terminal
switch(config)#
|
グローバル コンフィギュレーション モードを開始します。
|
ステップ 2 | [no] hardware access-list allow deny ace
例:
switch(config)# hardware access-list allow deny ace
|
シーケンス中の拒否 ACE サポートをイネーブルにします。
|
ステップ 3 | show running-config aclmgr
例:
switch(config)# show running-config aclmgr
| (任意)
ACL の設定を表示します。
|
ステップ 4 | copy running-config startup-config
例:
switch(config)# copy running-config startup-config
| (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
|
VACL 設定の確認
VACL 設定情報を表示するには、次の作業のいずれかを行います。これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。
コマンド
|
目的
|
show running-config aclmgr[all]
|
VACL-related の設定も含めて、ACL の設定を表示します。
(注)
|
Cisco NX-OS Release 5.2 以降では、このコマンドは、実行コンフィギュレーションのユーザ定義 ACL を表示します。all オプションを使用すると、実行コンフィギュレーションのデフォルト(CoPP 設定)とユーザ定義による ACL の両方が表示されます。
|
|
show startup-config aclmgr [all]
|
ACL のスタートアップ コンフィギュレーションを表示します。
(注)
|
Cisco NX-OS Release 5.2 以降では、このコマンドは、スタートアップ コンフィギュレーションのユーザ定義 ACL を表示します。all オプションを使用すると、スタートアップ コンフィギュレーションのデフォルト(CoPP 設定)とユーザ定義による ACL の両方が表示されます。
|
|
show vlan filter
|
VLAN に適用されている VACL の情報を表示します。
|
show vlan access-map
|
VLAN アクセス マップに関する情報を表示します。
|
VACL 統計情報のモニタリングとクリア
VACL の統計情報をモニタまたはクリアを行うには、次の表に示すコマンドのいずれかを使用します。これらのコマンドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。
コマンド
|
目的
|
show vlan access-list
|
VACL の設定を表示します。VLAN アクセス マップに statistics per-entry コマンドが含まれている場合は、show vlan access-list コマンドの出力に、各ルールと一致したパケットの数が含まれます。
|
clear vlan access-list counters
|
すべての VACL、または特定の VACL の統計情報を消去します。
|
VACL の設定例
次の例では、acl-mac-01 という名前の MAC ACL で許可されたトラフィックを転送する VACL を設定し、その VACL を VLAN 50 ~ 82 に適用します。
conf t
vlan access-map acl-mac-map
match mac address acl-mac-01
action forward
vlan filter acl-mac-map vlan-list 50-82
VACL に関する追加情報
関連資料
関連項目
|
マニュアル タイトル
|
VACL のコマンド:完全なコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意、例
|
『Cisco Nexus 7000 Series NX-OS Security Command Reference』
|
ポリシー ベース ルーティング (PBR) 設定
|
『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』
|
QoS の設定
|
『Cisco Nexus 7000 Series NX-OS Quality of Service Configuration Guide』
|
標準
標準
|
Title
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。
|
—
|
VLAN ACL の機能の履歴
次の表に、この機能のリリースの履歴を示します。
表 2 VLAN ACL の機能の履歴
機能名
|
リリース
|
機能情報
|
VLAN ACL
|
6.1(3)
|
シーケンス中の拒否 ACE に対するサポートが追加されました。
|
VLAN ACL
|
6.0(1)
|
F2 シリーズ モジュールが更新されました。
|
VLAN ACL
|
5.2(1)
|
実行コンフィギュレーションとスタートアップ コンフィギュレーションでユーザ設定 ACL だけを表示する(およびデフォルトの CoPP 設定 ACL を表示しない)ように、show running-config aclmgr コマンドと show startup-config aclmgr コマンドが変更されました。
|
VLAN ACL
|
5.1(1)
|
Release 5.0 以降、変更はありません。
|
VLAN ACL
|
5.0(2)
|
スケーラブルなサービス ライセンスがインストールされており、XL ラインカードを使用している場合、最大 128,000 の ACL エントリがサポートされるようになりました。
|
VLAN アクセス マップ
|
4.2(1)
|
リリース 4.1 からの変更はありません。
|