発行日;2013/02/06 | 英語版ドキュメント(2013/01/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章 , ドキュメント全体
(PDF - 12MB) | フィードバック
目次
IPv6 ACL の設定
IP Version 6(IPv6)アクセス コントロール リスト(ACL)を作成し、それをインターフェイスに適用することによって、IPv6 トラフィックをフィルタリングできます。これは、IP Version 4(IPv4)の名前付き ACL を作成し、適用する方法と同じです。また、スイッチが IP サービスまたは IP ベース フィーチャ セットを実行している場合に、レイヤ 3 管理トラフィックをフィルタリングするために、入力ルータ ACL を作成し、適用することもできます。この章では、スイッチに IPv6 ACL を設定する方法について説明します。特に明記しない限り、 スイッチ という用語は、スタンドアロン スイッチおよびスイッチ スタックを指します。
IPv6 を使用するには、デュアル IPv4 および IPv6 スイッチング データベース管理(SDM)テンプレートがスイッチに設定されている必要があります。テンプレートの選択は、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドで行います。
•
SDM テンプレートの詳細については、「SDM テンプレートの設定」を参照してください。
•
スイッチの IPv6 については、「IPv6 ユニキャスト ルーティングの設定」を参照してください。
•
スイッチの ACL については、「ACL によるネットワーク セキュリティの設定」を参照してください。
![]()
(注) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスまたは手順に記載された Cisco IOS のマニュアルを参照してください。
IPv6 ACL の概要
•
IPv6 ルータ ACL は、ルーテッド ポート、スイッチ仮想インターフェイス(SVI)、またはレイヤ 3 EtherChannel に設定できるレイヤ 3 インターフェイスのアウトバウンド トラフィックまたはインバウンド トラフィックでサポートされます。IPv6 ルータ ACL は、ルーティングされる IPv6 パケットに対してだけ適用されます。
•
IPv6 ポート ACL は、レイヤ 2 インターフェイスの着信トラフィックだけでサポートされます。IPv6 ポート ACL は、インターフェイスに着信するすべての IPv6 パケットに対して適用されます。
IP サービスまたは IP ベース フィーチャ セットを実行しているスイッチは、入力ルータ IPv6 ACL だけをサポートしています。ポート ACL または出力ルータ IPv6 ACL はサポートされません。
![]()
(注) 未サポートの IPv6 ACL を設定すると、エラー メッセージが表示されて設定が有効になりません。
出力ルータ ACL または入力ポート ACL を、IP ベース フィーチャ セットまたは IP サービス フィーチャ セットを実行しているスイッチ上で作成または適用すると、ACL はスイッチ コンフィギュレーションに追加されますが、有効にならず、エラー メッセージが表示されます。出力ルータ ACL または入力ポート ACL を使用する必要がある場合は、スイッチ コンフィギュレーションを保存し、ACL をサポートしている IP サービス フィーチャ セットをイネーブルにします。
スイッチは、IPv6 トラフィックの Virtual LAN(VLAN)ACL(VLAN マップ)をサポートしません。
![]()
(注) スイッチでの ACL サポートの詳細については、「ACL によるネットワーク セキュリティの設定」を参照してください。
1 つのインターフェイスに、IPv4 ACL および IPv6 ACL の両方を適用できます。
IPv4 ACL の場合と同様に、IPv6 ポート ACL はルータ ACL よりも優先されます。
•
SVI に入力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに着信したパケットはポート ACL によってフィルタリングされます。その他のポートに着信したルーテッド IP パケットは、ルータ ACL によってフィルタリングされます。他のパケットはフィルタリングされません。
•
SVI に出力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートに着信したパケットはポート ACL によってフィルタリングされます。発信ルーテッド IPv6 パケットは、ルータ ACL によってフィルタリングされます。他のパケットはフィルタリングされません。
![]()
(注) いずれかのポート ACL(IPv4、IPv6、または MAC)がインターフェイスに適用された場合、そのポート ACL を使用してパケットをフィルタリングし、ポート VLAN の SVI に適用されたルータ ACL は無視されます。
サポートされる ACL 機能
•
分割フレーム(IPv4 では fragments キーワード)がサポートされます。
•
IPv6 ACL では、IPv4 と同じ統計情報がサポートされます。
•
スイッチのハードウェア メモリが不足している場合、ACL に対応付けられたパケットは CPU に転送され、ACL はソフトウェアで適用されます。
•
ホップバイホップ オプションがあるルーテッド パケットまたはブリッジド パケットには、ソフトウェアで適用される IPv6 ACL が設定されます。
IPv6 ACL の制限事項
IPv4 では、番号制の標準 IP ACL および拡張 IP ACL、名前付き IP ACL、および MAC ACL を設定できます。IPv6 がサポートするのは名前付き ACL だけです。
Cisco IOS でサポートされる IPv6 ACL の大部分がサポートされますが、次の例外があります。
•
スイッチは、 flowlabel 、 routing header 、および undetermined-transport というキーワードの照合をサポートしません。
•
スイッチは再起 ACL( reflect キーワード)をサポートしません。
•
このリリースが IPv6 用にサポートしているのは、ポート ACL およびルータ ACL だけです。VLAN ACL(VLAN マップ)はサポートしていません。
•
スイッチは IPv6 フレームに MAC ベース ACL を適用しません。
•
レイヤ 2 EtherChannel に IPv6 ポート ACL を適用できません。
•
IPv6 の出力ルータ ACL および入力ポート ACL は、スイッチが IP サービス フィーチャ セットを実行している場合にだけサポートされます。IP ベース フィーチャ セットを実行しているスイッチでは、IPv6 管理トラフィックに対する入力ルータ ACL だけがサポートされます。
•
ACL を設定する場合、ACL に入力されるキーワードには、それがプラットフォームでサポートされるかどうかにかかわらず、制限事項はありません。ハードウェア転送が必要なインターフェイス(物理ポートまたは SVI)に ACL を適用する場合、スイッチはインターフェイスで ACL がサポートされるかどうか判別します。サポートされない場合、ACL の付加は拒否されます。
•
インターフェイスに ACL が適用されており、サポートされないキーワードを持つアクセス コントロール エントリ(ACE)を追加しようとした場合、スイッチは ACL への ACE の追加を拒否します。
IPv6 ACL とスイッチ スタック
スタック マスターは IPv6 ACL をハードウェアでサポートし、IPv6 ACL をスタック メンバーに配信します。
![]()
(注) スイッチ スタック内で IPv6 を完全に機能させるには、すべてのスタック メンバーで拡張 IP サービス フィーチャ セットが稼働している必要があります。IP サービス フィーチャ セットまたは IP ベース フィーチャ セットを実行しているスイッチは、IPv6 管理トラフィックの入力ルータ IPv6 ACL だけをサポートしています。
新しいスイッチがスタック マスターを引き継ぐと、ACL 設定がすべてのスタック メンバーに配信されます。メンバー スイッチは、新しいスタック マスターによって配信された設定を同期し、不要なエントリを消去します。
ACL の修正、インターフェイスへの適用、またはインターフェイスからの解除が行われると、スタック マスターは変更内容をすべてのスタック メンバーに配信します。
IPv6 ACL の設定
IPv6 ACL を設定する場合は、事前にデュアル IPv4 および IPv6 SDM テンプレートのいずれかを選択する必要があります。
IPv6 トラフィックをフィルタリングする場合は、次の手順を実行します
ステップ 1
IPv6 ACL を作成し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。
ステップ 2
IPv6 ACL が、トラフィックをブロックする(拒否)または通過させる(許可)よう設定します。
ステップ 3
インターフェイスに IPv6 ACL を適用します。ルータ ACL では、ACL が適用されるレイヤ 3 インターフェイスにも IPv6 アドレスを設定する必要があります。
ここでは、IPv6 ACL の設定および適用方法について説明します。
他の機能およびスイッチとの相互作用
IPv6 ACL の設定には、他の機能またはスイッチ特性と次の相互作用があります。
•
IPv6 ルータ ACL がパケットを拒否するよう設定されている場合、パケットはルーティングされません。パケットのコピーがインターネット制御メッセージ プロトコル(ICMP)キューに送信され、フレームに ICMP 到達不能メッセージが生成されます。
•
ブリッジド フレームがポート ACL によってドロップされる場合、このフレームはブリッジングされません。
•
IPv4 ACL および IPv6 ACL の両方を 1 つのスイッチまたはスイッチ スタックに作成したり、同一インターフェイスに適用したりできます。各 ACL には一意の名前が必要です。設定済みの名前を使用しようとすると、エラー メッセージが表示されます。
IPv4 ACL と IPv6 ACL の作成、および同一のレイヤ 2 インターフェイスまたはレイヤ 3 インターフェイスへの適用には、異なるコマンドを使用します。ACL を付加するのに誤ったコマンドを使用すると(たとえば、IPv6 ACL の付加に IPv4 コマンドを使用するなど)、エラー メッセージが表示されます。
•
MAC ACL を使用して、IPv6 フレームをフィルタリングできません。MAC ACL は非 IP フレームだけをフィルタリングできます。
•
ハードウェア メモリが満杯の場合、ACL が設定された追加のパケットは CPU に転送され、ACL がソフトウェアで適用されます。
IPv6 ACL の作成
IPv6 ACL を作成するには、特権 EXEC モードで次の手順を実行します。
指定のアクセス リストから拒否または許可条件を削除するには、キーワードを指定して no { deny | permit } IPv6 アクセス リスト コンフィギュレーション コマンドを使用します。
次に、CISCO と名前が付けられた IPv6 アクセス リストを設定する例を示します。リスト内の最初の拒否エントリは、宛先 TCP ポート番号が 5000 より大きいパケットをすべて拒否します。2 番めの拒否エントリは、送信元 UDP ポート番号が 5000 未満のパケットを拒否します。また、この 2 番めの拒否エントリは、すべての一致をコンソールに表示します。リスト内の最初の許可エントリは、すべての ICMP パケットを許可します。リスト内の 2 番めの許可エントリは、その他のすべてのトラフィックを許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 アクセス リストの末尾にあるため、この 2 番めの許可エントリが必要となります。
インターフェイスへの IPv6 ACL の適用
ここでは、ネットワーク インターフェイスに IPv6 ACL を適用する手順について説明します。スイッチが IP サービス フィーチャ セットを実行している場合、ACL をレイヤ 3 インターフェイスの発信または着信トラフィック、あるいはレイヤ 2 インターフェイスの着信トラフィックに適用することができます。スイッチが IP サービス フィーチャ セットまたは IP ベース フィーチャ セットを実行している場合、ACL をレイヤ 3 インターフェイスの着信管理トラフィックだけに適用することができます。
インターフェイスへのアクセスを制御するには、特権 EXEC モードで次の手順を実行します。
インターフェイスからアクセス リストを削除するには、 no ipv6 traffic-filter access-list-name インターフェイス コンフィギュレーション コマンドを使用します。
IPv6 ACL の表示
表 36-1 に記載のいずれかまたは両方の特権 EXEC コマンドを使用して、すべての設定済みアクセス リスト、すべての IPv6 アクセス リスト、または特定のアクセス リストに関する情報を表示できます。
次に、 show access-lists 特権 EXEC コマンドの出力例を示します。出力には、スイッチまたはスイッチ スタックに設定済みのすべてのアクセス リストが表示されます。
次に、 show ipv6 access-lists 特権 EXEC コマンドの出力例を示します。出力には、スイッチまたはスイッチ スタックに設定済みの IPv6 入力および出力アクセス リストだけが表示されます。