IPv6 ACL の前提条件
IP Version 6(IPv6)アクセス コントロール リスト(ACL)を作成し、それをインターフェイスに適用することによって、IPv6 トラフィックをフィルタリングできます。これは、IP Version 4(IPv4)の名前付き ACL を作成し、適用する方法と同じです。また、スイッチで IP ベース フィーチャ セットが稼働している場合、入力ルータ ACL を作成しそれを適用してレイヤ 3 管理トラフィックをフィルタリングすることもできます。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
IP Version 6(IPv6)アクセス コントロール リスト(ACL)を作成し、それをインターフェイスに適用することによって、IPv6 トラフィックをフィルタリングできます。これは、IP Version 4(IPv4)の名前付き ACL を作成し、適用する方法と同じです。また、スイッチで IP ベース フィーチャ セットが稼働している場合、入力ルータ ACL を作成しそれを適用してレイヤ 3 管理トラフィックをフィルタリングすることもできます。
IPv4 では、番号制の標準 IP ACL および拡張 IP ACL、名前付き IP ACL、および MAC ACL を設定できます。IPv6 がサポートするのは名前付き ACL だけです。
デバイスは、flowlabel、routing header、および undetermined-transport というキーワードの照合をサポートしません。
デバイスは再帰 ACL(reflect キーワード)をサポートしません。
デバイスは IPv6 フレームに MAC ベース ACL を適用しません。
ACL を設定する場合、ACL に入力されるキーワードには、それがプラットフォームでサポートされるかどうかにかかわらず、制限事項はありません。ハードウェア転送が必要なインターフェイス(物理ポートまたは SVI)に ACL を適用する場合、デバイスはインターフェイスで ACL がサポートされるかどうかを判別します。サポートされない場合、ACL の付加は拒否されます。
インターフェイスに適用される ACL に、サポートされないキーワードを持つアクセス コントロール エントリ(ACE)を追加しようとする場合、デバイスは現在インターフェイスに適用されている ACL に ACE が追加されることを許可しません。
アクセス コントロール リスト(ACL)は、特定のインターフェイスへのアクセスを制限するために使用される一連のルールです(たとえば、無線クライアントからコントローラの管理インターフェイスに ping が実行されるのを制限する場合などに使用されます)。デバイスで設定した ACL は、管理インターフェイス、AP マネージャ インターフェイス、任意の動的インターフェイス、またはワイヤレス クライアントとやり取りするデータ トラフィックの制御用の WLAN、あるいは中央処理装置(CPU)宛のすべてのトラフィックの制御用のコントローラ CPU に適用できます。
Web 認証用に事前認証 ACL を作成することもできます。このような ACL は、認証が完了するまでに特定のタイプのトラフィックを許可するために使用されます。
IPv6 ACL は、送信元、宛先、送信元ポート、宛先ポートなど、IPv4 ACL と同じオプションをサポートします。
(注) |
ネットワーク内で IPv4 トラフィックだけを有効にするには、IPv6 トラフィックをブロックします。つまり、すべての IPv6 トラフィックを拒否するように IPv6 ACL を設定し、これを特定またはすべての WLAN 上で適用します。 |
IPv6 ルータ ACL は、ルーテッド ポート、スイッチ仮想インターフェイス(SVI)、またはレイヤ 3 EtherChannel に設定できるレイヤ 3 インターフェイスのアウトバウンド トラフィックまたはインバウンド トラフィックでサポートされます。IPv6 ルータ ACL は、ルーティングされる IPv6 パケットに対してだけ適用されます。
IPv6 ポート ACL は、レイヤ 2 インターフェイスのインバウンド トラフィックでだけサポートされます。IPv6 ポート ACL は、インターフェイスに着信するすべての IPv6 パケットに対して適用されます。
IP ベース フィーチャ セットが稼働しているスイッチは、入力ルータ IPv6 ACL だけをサポートします。ポート ACL または出力ルータ IPv6 ACL はサポートされません。
(注) |
サポートされない IPv6 ACL を設定した場合、エラー メッセージが表示され、その設定は有効になりません。 |
スイッチは、IPv6 トラフィックの Virtual LAN(VLAN)ACL(VLAN マップ)をサポートしません。
SVI に入力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに着信したパケットはポート ACL によってフィルタリングされます。その他のポートに着信したルーテッド IP パケットは、ルータ ACL によってフィルタリングされます。他のパケットはフィルタリングされません。
SVI に出力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに
着信したパケットはポート ACL によってフィルタリングされます。発信ルーテッド IPv6 パケットは、ルータ ACL によってフィルタリングされます。他のパケットはフィルタリングされません。
(注) |
いずれかのポート ACL(IPv4、IPv6、または MAC)がインターフェイスに適用された場合、そのポート ACL を使用してパケットをフィルタリングし、ポート VLAN の SVI に適用されたルータ ACL は無視されます。 |
ACL のタイプ
ユーザあたりの ACL の場合、テキスト文字列として、完全アクセス制御エントリ(ACE)が ACS で設定されます。
ACE はコントローラで設定されません。ACE は ACCESS-Accept
属性でデバイスに送信され、クライアント用に直接適用されます。ワイヤレス クライアントが外部デバイスにローミングするときに、ACE が、AAA 属性としてモビリティ ハンドオフ メッセージで外部デバイスに送信されます。ユーザあたりの ACL を使用した出力方向はサポートされていません。
filter-Id ACL の場合、完全な ACE および acl name(filter-id)
がデバイスで設定され、filter-id
のみが ACS で設定されます。filter-id
は ACCESS-Accept 属性でデバイスに送信され、デバイスは ACE の filter-id をルックアップしてから、クライアントに ACE を適用します。クライアント L2 が外部デバイスにローミングするときに、filter-id だけがモビリティ ハンドオフ メッセージで外部デバイスに送信されます。ユーザあたりの ACL を使用した出力フィルタ ACL はサポートされていません。外部デバイスは filter-id と ACE を事前に設定する必要があります。
ダウンロード可能 ACL(dACL)の場合、完全な ACE および dacl
名はすべて ACS だけで設定されます。
(注) |
コントローラは ACL を設定しません。 |
ACS は dacl
名をデバイスに対しその ACCESS-Accept
属性で送信します。さらに dacl
名を使用して、ACE のために dACL
名が ACS に、access-request
属性によって戻されます。
ACS は access-accept
属性でデバイスの対応する ACE に応答します。ワイヤレス クライアントが外部デバイスにローミングするときに、dacl
名だけがモビリティ ハンドオフ メッセージで外部デバイスに送信されます。外部デバイスは、dacl
名の ACS サーバにアクセスして ACE を取得します。
スタック マスターは IPv6 ACL をハードウェアでサポートし、IPv6 ACL をスタック メンバーに配信します。
(注) |
スイッチ スタック内で IPv6 を完全に機能させるには、すべてのスタック メンバーで拡張 IP サービス フィーチャ セットが稼働している必要があります。 |
新しいスイッチがスタック マスターを引き継ぐと、ACL 設定がすべてのスタック メンバーに配信されます。メンバ スイッチは、新しいスタック マスターによって配信された設定との同期をとり、不要なエントリを一掃します。
ACL の修正、インターフェイスへの適用、またはインターフェイスからの解除が行われると、スタック マスターは変更内容をすべてのスタック メンバーに配信します。
IPv6 トラフィックをフィルタリングする場合は、次の手順を実行します。
IPv6 ACL を設定する場合は、事前にデュアル IPv4 および IPv6 SDM テンプレートのいずれかを選択する必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
IPv6 ACL を作成し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
IPv6 ACL が、トラフィックをブロックする(拒否)または通過させる(許可)よう設定します。 |
|
ステップ 3 |
トラフィックをフィルタリングする必要があるインターフェイスに IPv6 ACL を適用します。 |
|
ステップ 4 |
インターフェイスに IPv6 ACL を適用します。ルータ ACL では、ACL が適用されるレイヤ 3 インターフェイスにも IPv6 アドレスを設定する必要があります。 |
デフォルトでは、IPv6 ACL は設定または適用されていません。
IPv6 ルータ ACL がパケットを拒否するよう設定されている場合、パケットはルーティングされません。パケットのコピーがインターネット制御メッセージ プロトコル(ICMP)キューに送信され、フレームに ICMP 到達不能メッセージが生成されます。
ブリッジド フレームがポート ACL によってドロップされる場合、このフレームはブリッジングされません。
IPv4 ACL および IPv6 ACL の両方を 1 つのスイッチまたはスイッチ スタックに作成したり、同一インターフェイスに適用できます。各 ACL には一意の名前が必要です。設定済みの名前を使用しようとすると、エラー メッセージが表示されます。
IPv4 ACL と IPv6 ACL の作成、および同一のレイヤ 2 インターフェイスまたはレイヤ 3 インターフェイスへの IPv4 ACL または IPv6 ACL の適用には、異なるコマンドを使用します。ACL を付加するのに誤ったコマンドを使用すると(例えば、IPv6 ACL の付加に IPv4 コマンドを使用するなど)、エラー メッセージが表示されます。
ハードウェア メモリが満杯の場合、設定済みの ACL を追加すると、パケットは CPU に転送され、ACL はソフトウェアで適用されます。ハードウェアが一杯になると、ACL がアンロードされたことを示すメッセージがコンソールに出力され、パケットはインターフェイスでドロップされます。
(注) |
追加できなかった ACL と同じタイプのパケットのみ(ipv4、ipv6、MAC)がインターフェイスでドロップされます。 |
IPv6 ACL の設定方法
IPv6 ACL を作成するには、特権 EXEC モードで次の手順を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ipv6 access-list acl_name 例:
|
名前を使用して IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。 |
ステップ 3 |
{deny|permit} protocol 例:
|
source-ipv6-prefix/prefix-length 引数のあとの operator は、送信元ポートに一致する必要があります。destination-ipv6- prefix/prefix-length 引数のあとの operator は、宛先ポートに一致する必要があります。
|
ステップ 4 |
{deny|permit} tcp 例:
|
(任意)TCP アクセス リストおよびアクセス条件を定義します。
|
ステップ 5 |
{deny|permit} udp 例:
|
(任意)UDP アクセス リストおよびアクセス条件を定義します。 ユーザ データグラム プロトコルの場合は、udp を入力します。UDP パラメータは TCP に関して説明されているパラメータと同じです。ただし、[operator [port]] のポート番号またはポート名は、UDP ポートの番号または名前でなければなりません。UDP の場合、established パラメータは無効です。 |
ステップ 6 |
{deny|permit} icmp 例:
|
(任意)ICMP アクセス リストおよびアクセス条件を定義します。
|
ステップ 7 |
end 例:
|
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
ステップ 8 |
show ipv6 access-list 例:
|
アクセス リストの設定を確認します。 |
ステップ 9 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ここでは、ネットワーク インターフェイスに IPv6 ACL を適用する手順について説明します。レイヤ 2 およびレイヤ 3 インターフェイスの発信または着信トラフィックに IPv6 ACL を適用できます。IPv6 ACL はレイヤ 3 インターフェイスの着信管理トラフィックにだけ適用できます。
インターフェイスへのアクセスを制御する管理には、特権 EXEC モードで次の手順を実行します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 |
interface interface_id 例:
|
アクセス リストを適用するレイヤ 2 インターフェイス(ポート ACL 用)またはレイヤ 3 スイッチ仮想インターフェイス(ルータ ACL 用)を特定して、インターフェイス コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
no switchport 例:
|
レイヤ 2 モード(デフォルト)からレイヤ 3 モードにインターフェイスを変更します(ルータ ACL を適用する場合のみ)。 |
||
ステップ 4 |
ipv6 address ipv6_address 例:
|
|
||
ステップ 5 |
ipv6 traffic-filter acl_name 例:
|
インターフェイスの着信トラフィックまたは発信トラフィックにアクセス リストを適用します。 |
||
ステップ 6 |
end 例:
|
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
||
ステップ 7 |
show running-config interface tenGigabitEthernet 1/0/3 例:
|
設定の概要を示します。 |
||
ステップ 8 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
ipv6 traffic-filter acl acl_name 例:
|
名前付き WLAN ACL を作成します。 |
ステップ 2 |
ipv6 traffic-filter acl web 例:
|
WLAN ACL の事前認証を作成します。 |
Device(config-wlan)# ipv6 traffic-filter acl <acl_name>
Device(config-wlan)#ipv6 traffic-filter acl web <acl_name-preauth>
1 つまたは複数の特権 EXEC コマンドを使用して、設定済みのすべてのアクセス リスト、すべての IPv6 アクセス リスト、または特定のアクセス リストに関する情報を表示できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
show access-list 例:
|
デバイスに設定されたすべてのアクセス リストを表示します。 |
ステップ 2 |
show ipv6 access-list acl_name 例:
|
設定済みのすべての IPv6 アクセス リストまたは名前付けされたアクセス リストを表示します。 |
IPv6 ACL の設定例
(注) |
ロギングは、レイヤ 3 インターフェイスでのみサポートされます。 |
Device(config)# ipv6 access-list CISCO
Device(config-ipv6-acl)# deny tcp any any gt 5000
Device (config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log
Device(config-ipv6-acl)# permit icmp any any
Device(config-ipv6-acl)# permit any any
Device(config)# interface TenGigabitEthernet 1/0/3
Device(config-if)# no switchport
Device(config-if)# ipv6 address 2001::/64 eui-64
Device(config-if)# ipv6 traffic-filter CISCO out
Device #show access-lists
Extended IP access list hello
10 permit ip any any
IPv6 access list ipv6
permit ipv6 any any sequence 10
Device# show ipv6 access-list
IPv6 access list inbound
permit tcp any any eq bgp (8 matches) sequence 10
permit tcp any any eq telnet (15 matches) sequence 20
permit udp any any sequence 30
IPv6 access list outbound
deny udp any any sequence 10
deny tcp any any eq telnet sequence 20
このタスクでは、省電力のワイヤレス クライアントが頻繁な非請求の定期的 RA に影響されないように、RA スロットル ポリシーを作成する方法について説明します。非請求タイプのマルチキャスト RA は、コントローラによってスロットルされます。
クライアント マシンで IPv6 をイネーブルにします。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ipv6 nd ra-throttler policy Mythrottle 例:
|
Mythrottle という RA スロットラ ポリシーを作成します。 |
ステップ 3 |
throttle-period 20 例:
|
スロットリングを適用する時間間隔セグメントを特定します。 |
ステップ 4 |
max-through 5 例:
|
許容する初期 RA の数を特定します。 |
ステップ 5 |
allow at-least 3 at-most 5 例:
|
初期 RA が送信された後に、間隔セグメントの終了まで許容される RA の数を特定します。 |
ステップ 6 |
switch (config)# vlan configuration 100 例:
|
vlan あたりの設定を作成します。 |
ステップ 7 |
ipv6 nd suppress 例:
|
Vlan でネイバー探索をディセーブルにします。 |
ステップ 8 |
ipv6 nd ra-th attach-policy attach-policy_name 例:
|
ルータ アドバタイズメント スロットリングをイネーブルにします。 |
ステップ 9 |
end 例:
|
特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
ipv6 nd raguard policy MyPloicy 例:
|
|
ステップ 2 |
trusted-port 例:
|
上記で作成したポリシーの信頼できるポートを設定します。 |
ステップ 3 |
device-role router 例:
|
上記で作成した信頼できるポートに RA を送信可能な信頼できるデバイスを定義します。 |
ステップ 4 |
interface tenGigabitEthernet 1/0/1 例:
|
信頼できるデバイスにインターフェイスを設定します。 |
ステップ 5 |
ipv6 nd raguard attach-policy MyPolicy 例:
|
ポートから受信した RA を信頼するようにポリシーを設定し、接続します。 |
ステップ 6 |
vlan configuration 19-21,23 例:
|
ワイヤレス クライアントの vlan を設定します。 |
ステップ 7 |
ipv6 nd suppress 例:
|
無線上で ND メッセージを抑制します。 |
ステップ 8 |
ipv6 snooping 例:
|
IPv6 トラフィックをキャプチャします。 |
ステップ 9 |
ipv6 nd raguard attach-policy MyPolicy 例:
|
ワイヤレス クライアントの vlan に RA ガード ポリシーを接続します。 |
ステップ 10 |
ipv6 nd ra-throttler attach-policy Mythrottle 例:
|
ワイヤレス クライアントの vlan に RA スロットリング ポリシーを接続します。 |
コマンドまたはアクション | 目的 |
---|---|
ipv6 neighbor binding [vlan ] 19 2001:db8::25:4 interface tenGigabitEthernet 1/0/3 aaa.bbb.ccc 例:
|
送信元 MAC アドレスとして aaa.bbb.ccc が設定されたインターフェイス te1/0/3 を介して VLAN 19 で送信する場合にのみ有効なネイバー 2001:db8::25: 4 を設定して検証します。 |
関連項目 | マニュアル タイトル |
---|---|
IPv6 コマンド リファレンス | 『IPv6 Command Reference (Catalyst 3850 Switches)』 |
ACL 設定 | 『Security Configuration Guide (Catalyst 3850 Switches)』 |
説明 | リンク |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
MIB | MIB のリンク |
---|---|
本リリースでサポートするすべての MIB |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
説明 | Link |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
機能 |
リリース |
変更内容 |
---|---|---|
IPv6 ACL 機能 |
Cisco IOS XE 3.2SE |
この機能が導入されました。 |