この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
IPv4 では、番号制の標準 IP ACL および拡張 IP ACL、名前付き IP ACL、および MAC ACL を設定できます。IPv6 がサポートするのは名前付き ACL だけです。
デバイスは、flowlabel、routing header、および undetermined-transport というキーワードの照合をサポートしません。
デバイスは再帰 ACL(reflect キーワード)をサポートしません。
デバイスは IPv6 フレームに MAC ベース ACL を適用しません。
ACL を設定する場合、ACL に入力されるキーワードには、それがプラットフォームでサポートされるかどうかにかかわらず、制限事項はありません。ハードウェア転送が必要なインターフェイス(物理ポートまたは SVI)に ACL を適用する場合、デバイスはインターフェイスで ACL がサポートされるかどうかを判別します。サポートされない場合、ACL の付加は拒否されます。
インターフェイスに適用される ACL に、サポートされないキーワードを持つアクセス コントロール エントリ(ACE)を追加しようとする場合、デバイスは現在インターフェイスに適用されている ACL に ACE が追加されることを許可しません。
Web 認証用に事前認証 ACL を作成することもできます。このような ACL は、認証が完了するまでに特定のタイプのトラフィックを許可するために使用されます。
IPv6 ACL は、送信元、宛先、送信元ポート、宛先ポートなど、IPv4 ACL と同じオプションをサポートします。
(注) | ネットワーク内で IPv4 トラフィックだけを有効にするには、IPv6 トラフィックをブロックします。つまり、すべての IPv6 トラフィックを拒否するように IPv6 ACL を設定し、これを特定またはすべての WLAN 上で適用します。 |
ACL のタイプ
ユーザあたりの ACL の場合、テキスト文字列として、完全アクセス制御エントリ(ACE)が ACS で設定されます。
filter-Id ACL の場合、完全な ACE および acl name(filter-id) がデバイスで設定され、filter-id のみが ACS で設定されます。
ダウンロード可能 ACL(dACL)の場合、完全な ACE および dacl 名はすべて ACS だけで設定されます。
(注) | コントローラは ACL を設定しません。 |
ACS は dacl 名をデバイスに対しその ACCESS-Accept 属性で送信します。さらに dacl 名を使用して、ACE のために dACL 名が ACS に、access-request 属性によって戻されます。
スタック マスターは IPv6 ACL をハードウェアでサポートし、IPv6 ACL をスタック メンバーに配信します。
新しいスイッチがスタック マスターを引き継ぐと、ACL 設定がすべてのスタック メンバーに配信されます。メンバ スイッチは、新しいスタック マスターによって配信された設定との同期をとり、不要なエントリを一掃します。
ACL の修正、インターフェイスへの適用、またはインターフェイスからの解除が行われると、スタック マスターは変更内容をすべてのスタック メンバーに配信します。
IPv6 トラフィックをフィルタリングする場合は、次の手順を実行します。
IPv6 ACL を設定する場合は、事前にデュアル IPv4 および IPv6 SDM テンプレートのいずれかを選択する必要があります。
コマンドまたはアクション | 目的 |
---|
デフォルトでは、IPv6 ACL は設定または適用されていません。
IPv6 ルータ ACL がパケットを拒否するよう設定されている場合、パケットはルーティングされません。パケットのコピーがインターネット制御メッセージ プロトコル(ICMP)キューに送信され、フレームに ICMP 到達不能メッセージが生成されます。
ブリッジド フレームがポート ACL によってドロップされる場合、このフレームはブリッジングされません。
IPv4 ACL および IPv6 ACL の両方を 1 つのスイッチまたはスイッチ スタックに作成したり、同一インターフェイスに適用できます。各 ACL には一意の名前が必要です。設定済みの名前を使用しようとすると、エラー メッセージが表示されます。
IPv4 ACL と IPv6 ACL の作成、および同一のレイヤ 2 インターフェイスまたはレイヤ 3 インターフェイスへの IPv4 ACL または IPv6 ACL の適用には、異なるコマンドを使用します。ACL を付加するのに誤ったコマンドを使用すると(例えば、IPv6 ACL の付加に IPv4 コマンドを使用するなど)、エラー メッセージが表示されます。
IPv6 ACL の設定方法
IPv6 ACL を作成するには、特権 EXEC モードで次の手順を実行します。
ここでは、ネットワーク インターフェイスに IPv6 ACL を適用する手順について説明します。レイヤ 2 およびレイヤ 3 インターフェイスの発信または着信トラフィックに IPv6 ACL を適用できます。IPv6 ACL はレイヤ 3 インターフェイスの着信管理トラフィックにだけ適用できます。
インターフェイスへのアクセスを制御する管理には、特権 EXEC モードで次の手順を実行します。
1 つまたは複数の特権 EXEC コマンドを使用して、設定済みのすべてのアクセス リスト、すべての IPv6 アクセス リスト、または特定のアクセス リストに関する情報を表示できます。
コマンドまたはアクション | 目的 |
---|
IPv6 ACL の設定例
(注) | ロギングは、レイヤ 3 インターフェイスでのみサポートされます。 |
Device(config)# ipv6 access-list CISCO Device(config-ipv6-acl)# deny tcp any any gt 5000 Device (config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log Device(config-ipv6-acl)# permit icmp any any Device(config-ipv6-acl)# permit any any
Device(config)# interface TenGigabitEthernet 1/0/3 Device(config-if)# no switchport Device(config-if)# ipv6 address 2001::/64 eui-64 Device(config-if)# ipv6 traffic-filter CISCO out
Device #show access-lists
Extended IP access list hello
10 permit ip any any
IPv6 access list ipv6
permit ipv6 any any sequence 10
Device# show ipv6 access-list
IPv6 access list inbound
permit tcp any any eq bgp (8 matches) sequence 10
permit tcp any any eq telnet (15 matches) sequence 20
permit udp any any sequence 30
IPv6 access list outbound
deny udp any any sequence 10
deny tcp any any eq telnet sequence 20
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | ipv6 nd raguard policy MyPloicy 例: Device (config)# ipv6 nd raguard policy MyPolicy
| |
ステップ 2 | trusted-port 例: Device (config-nd-raguard)# trusted-port
| 上記で作成したポリシーの信頼できるポートを設定します。 |
ステップ 3 | device-role router 例: Device (config-nd-raguard)# device-role [host|monitor|router|switch] Device (config-nd-raguard)# device-role router | 上記で作成した信頼できるポートに RA を送信可能な信頼できるデバイスを定義します。 |
ステップ 4 | interface tenGigabitEthernet 1/0/1 例: Device (config)# interface tenGigabitEthernet 1/0/1
| 信頼できるデバイスにインターフェイスを設定します。 |
ステップ 5 | ipv6 nd raguard attach-policyMyPolicy 例: Device (config-if)# ipv6 nd raguard attach-policy Mypolicy
| ポートから受信した RA を信頼するようにポリシーを設定し、接続します。 |
ステップ 6 | vlan configuration 19-21,23 例: Device (config)# vlan configuration 19-21,23
| ワイヤレス クライアントの vlan を設定します。 |
ステップ 7 | ipv6 nd suppress 例: Device (config-vlan-config)# ipv6 nd suppress
|
無線上で ND メッセージを抑制します。 |
ステップ 8 | ipv6 snooping 例: Device (config-vlan-config)# ipv6 snooping
|
IPv6 トラフィックをキャプチャします。 |
ステップ 9 | ipv6 nd raguard attach-policy MyPolicy 例: Device (config-vlan-config)# ipv6 nd raguard attach-policy Mypolicy
|
ワイヤレス クライアントの vlan に RA ガード ポリシーを接続します。 |
ステップ 10 | ipv6 nd ra-throttler attach-policy Mythrottle 例: Device (config-vlan-config)#ipv6 nd ra-throttler attach-policy Mythrottle
|
ワイヤレス クライアントの vlan に RA スロットリング ポリシーを接続します。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | ipv6 neighbor binding [vlan ]19 2001:db8::25:4 interface tenGigabitEthernet 1/0/3 aaa.bbb.ccc 例: Device (config)# ipv6 neighbor binding vlan 19 2001:db8::25:4 interface tenGigabitEthernet 1/0/3 aaa.bbb.ccc
| 送信元 MAC アドレスとして aaa.bbb.ccc が設定されたインターフェイス te1/0/3 を介して VLAN 19 で送信する場合にのみ有効なネイバー 2001:db8::25: 4 を設定して検証します。 |
説明 | Link |
---|---|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
MIB | MIB のリンク |
---|---|
本リリースでサポートするすべての MIB |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
説明 | Link |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
機能 |
リリース |
変更内容 |
---|---|---|
IPv6 ACL 機能 |
Cisco IOS XE Everest 16.6.1 |
この機能が導入されました。 |