ACL設定ガイド 第2版

Transcription

1 本 書 は 弊 社 製 インテリジェントレイ ヤー 3 スイッチ LSM2-L3-24 のアクセス コントロールリスト 機 能 に 関 する 設 定 例 およびコマンドリファレンスを 記 載 した ACL 設 定 ガイド です 本 製 品 を ご 使 用 になる 前 には はじめに 本 製 品 に 付 属 している 導 入 ガイド をお 読 みく ださい また コマンドラインインター フェースの 詳 細 については 付 属 CD に 収 録 されている LSM2-L3-24 コマンド リファレンス を 参 照 してください

2 本 書 の 著 作 権 は 弊 社 に 帰 属 します 本 書 の 一 部 または 全 部 を 弊 社 に 無 断 で 転 載 複 製 改 変 などを 行 うこ とは 禁 じられております 本 書 に 記 載 されている 他 社 製 品 名 は 一 般 に 各 社 の 商 標 または 登 録 商 標 です 本 書 では などのマークは 記 載 していません 本 書 に 記 載 された 仕 様 デザイン その 他 の 内 容 については 改 良 のため 予 告 なしに 変 更 される 場 合 があ り 現 に 購 入 された 製 品 とは 一 部 異 なることがあります 本 書 の 内 容 に 関 しては 万 全 を 期 して 作 成 していますが 万 一 ご 不 審 な 点 や 誤 り 記 載 漏 れなどがありまし たら お 買 い 求 めになった 販 売 店 または 弊 社 インフォメーションセンターまでご 連 絡 ください 本 製 品 は 一 般 的 なオフィスや 家 庭 の OA 機 器 としてお 使 いください 万 一 一 般 OA 機 器 以 外 として 使 用 さ れたことにより 損 害 が 発 生 した 場 合 弊 社 はいかなる 責 任 も 負 いかねますので あらかじめご 了 承 ください 医 療 機 器 や 人 命 に 直 接 的 または 間 接 的 に 関 わるシステムなど 高 い 安 全 性 が 要 求 される 用 途 には 使 用 し ないでください 一 般 OA 機 器 よりも 高 い 信 頼 性 が 要 求 される 機 器 や 電 算 機 システムなどの 用 途 に 使 用 するときは ご 使 用 になるシステムの 安 全 設 計 や 故 障 に 対 する 適 切 な 処 置 を 万 全 におこなってください 本 製 品 は 日 本 国 内 でのみ 使 用 されることを 前 提 に 設 計 製 造 されています 日 本 国 外 では 使 用 しないで ください また 弊 社 は 本 製 品 に 関 して 日 本 国 外 での 保 守 または 技 術 サポートを 行 っておりません 本 製 品 のうち 外 国 為 替 および 外 国 貿 易 法 の 規 定 により 戦 略 物 資 等 (または 役 務 )に 該 当 するものについ ては 日 本 国 外 への 輸 出 に 際 して 日 本 国 政 府 の 輸 出 許 可 (または 役 務 取 引 許 可 )が 必 要 です 本 製 品 の 使 用 に 際 しては 本 書 に 記 載 した 使 用 方 法 に 沿 ってご 使 用 ください 特 に 注 意 事 項 として 記 載 された 取 扱 方 法 に 違 反 する 使 用 はお 止 めください 弊 社 は 製 品 の 故 障 に 関 して 一 定 の 条 件 下 で 修 理 を 保 証 しますが 記 憶 されたデータが 消 失 破 損 した 場 合 については 保 証 しておりません 本 製 品 がハードディスク 等 の 記 憶 装 置 の 場 合 または 記 憶 装 置 に 接 続 して 使 用 するものである 場 合 は 本 書 に 記 載 された 注 意 事 項 を 遵 守 してください また 必 要 なデータは バックアップを 作 成 してください お 客 様 が 本 書 の 注 意 事 項 に 違 反 し またはバックアップの 作 成 を 怠 ったために データを 消 失 破 棄 に 伴 う 損 害 が 発 生 した 場 合 であっても 弊 社 はその 責 任 を 負 いかねま すのであらかじめご 了 承 ください 本 製 品 に 起 因 する 債 務 不 履 行 または 不 法 行 為 に 基 づく 損 害 賠 償 責 任 は 弊 社 に 故 意 または 重 大 な 過 失 が あった 場 合 を 除 き 本 製 品 の 購 入 代 金 と 同 額 を 上 限 と 致 します 本 製 品 に 隠 れた 瑕 疵 があった 場 合 無 償 にて 当 該 瑕 疵 を 修 補 し または 瑕 疵 のない 同 一 製 品 または 同 等 品 に 交 換 致 しますが 当 該 瑕 疵 に 基 づく 損 害 賠 償 の 責 に 任 じません

3 目 次 1 機 能 概 要... 2 アクセスコントロールリストについて... 2 設 定 の 前 に( 初 期 設 定 ) 設 定 例... 3 特 定 MAC アドレスからの 通 信 を 許 可 する... 3 特 定 IP アドレスからの 通 信 を 許 可 する... 5 特 定 の VLAN 間 の 通 信 を 拒 否 する... 7 サーバとネットワークの 通 信 を 拒 否 する サーバとネットワークの 通 信 を 許 可 する 特 定 アプリケーションの 通 信 を 許 可 する TCP の 片 方 向 通 信 を 許 可 する コマンドリファレンス コマンド 一 覧 コマンド 解 説... 25

4 1 機 能 概 要 アクセスコントロールリスト (ACL) の 概 要 について 説 明 します アクセスコントロールリストについて アクセスコントロールリスト ( 以 下 ACL と 記 述 ) は ポートの 通 過 を 許 可 (permit) ま たは 拒 否 (deny) するパケットの 条 件 を 定 義 したリストです 作 成 した ACL を 特 定 のポートに 適 用 することにより IP アドレス ポート 番 号 や MAC アド レスなどの 条 件 で パケットの 通 過 を 許 可 または 拒 否 することができます これにより 特 定 のパソコンのネットワークアクセスを 制 御 し セキュリティを 向 上 させるこ とができます なお 1 つのリストに 許 可 と 拒 否 の 条 件 を 混 在 させることはできません ACL には 次 の 3 つのフィルタモードがあります Standard IP ACL モード 発 信 元 IP アドレスに 基 づいてパケットをフィルタします Extended IP ACL モード 発 信 元 または 宛 先 の IP アドレス プロトコル 番 号 TCP/UDP ポート 番 号 に 基 づいてパケット をフィルタします TCP プロトコルタイプが 指 定 されている 場 合 には TCP コントロールコー ドによるパケットのフィルタも 可 能 です MAC ACL モード 発 信 元 または 宛 先 MAC アドレスとイーサネットプロトコル 番 号 (RFC1060) に 基 づいてパ ケットをフィルタします 設 定 の 前 に ( 初 期 設 定 ) 設 定 を 行 う 前 に LSM2-L3-24 本 体 と 設 定 を 行 うコンピュータについて 以 下 の 操 作 を 行 って ください 各 操 作 の 詳 細 については LSM2-L3-24 導 入 ガイド ( 別 冊 ) および LSM2-L3-24 コ マンドリファレンス ( 添 付 CD に 収 録 ) を 参 照 してください ネットワーク 接 続 (Telnet) またはコンソール 接 続 (ハイパーターミナルなど) ログイン LSM2-L3-24 本 体 の IP アドレス 設 定 (デフォルト 値 変 更 の 場 合 ) 特 権 モード (Privileged Exec) へのアクセス (コンソールの 場 合 ) Configuration モードへの 移 行 (コンソールの 場 合 ) 2 ACL 設 定 ガイド

5 2 設 定 例 LSM2-L3-24 の 設 定 例 を 説 明 します 実 際 に 設 定 するときは 各 設 定 値 をお 使 い の 環 境 に 置 き 換 えてください 特 定 MAC アドレスからの 通 信 を 許 可 する この 例 では 特 定 ポートに 接 続 したパソコンのうち MAC アドレスのフィルタリングによって 指 定 パソコンだけを 他 のポートと 通 信 可 能 にする 設 定 を 行 います 使 用 環 境 ( 前 提 条 件 ) VLAN-1 のみ 存 在 する 環 境 とします フィルタリング 条 件 VLAN-1 の 特 定 MAC アドレスのパソコンだけ 他 ポートとの 通 信 を 許 可 します Web ブラウザを 使 った 設 定 1 [Home]-[ACL]-[ACL Configuration]を 開 き ます Name に melco と 入 力 し MAC Type を 選 択 したら [Add]をクリックします ACL 設 定 ガイド 3

6 2 Action に Permit を 選 択 し Source MAC/Source Mask に aa-aa-aa-bb-bb-bb / ff-ff-ff-ff-ff-ff を 入 力 し Packet Format に Any を 選 択 したら [Add]をクリックします Permit を Deny に 変 更 すると MAC アドレ ス aa-aa-aa-bb-bb-bb のパソコンからのトラ フィックだけが 拒 否 される 設 定 となります Permit を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 拒 否 する 条 件 が 暗 に 付 加 されます このため 拒 否 するアドレスの 個 別 Deny 設 定 は 不 要 です 3 入 力 フォームの 上 の 表 で 追 加 された 設 定 を 確 認 します 4 [Home]-[ACL]-[ACL Port Binding ]を 開 き 作 成 した ACL を 設 定 するポートを Enable にし たら melco を 選 択 します 5 [Apply]をクリックします コマンドを 使 った 設 定 Console#configure Configure モードへ 移 行 Console(config)#access-list mac melco リスト 名 melco で MAC ACL を 作 成 Console(config-std-acl)#permit aa-aaaa-bb-bb-bb ff-ff-ff-ff-ff-ff any any 上 記 のコマンド 入 力 で permit を deny に 変 更 すると MAC アドレス aa-aa-aa-bb-bb-bb のパソコンか らのトラフィックだけが 拒 否 される 設 定 となります permit を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 拒 否 する 条 件 が 暗 に 付 加 されます このため 拒 否 するアドレスの 個 別 deny 設 定 は 不 要 です 発 信 元 MAC アドレスが aa-aa-aa-bbbb-bb 場 合 のみ 任 意 のアドレスへ 通 過 を 許 可 に 設 定 Console(config-std-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 1/1 設 定 する 対 象 ポートを 指 定 Console(config-if)#mac access-group melco in 上 記 ポートに melco を 設 定 4 ACL 設 定 ガイド

7 特 定 IP アドレスからの 通 信 を 許 可 する この 例 では 特 定 ポートに 接 続 したパソコンのうち IP アドレスのフィルタリングによって 指 定 パソコンだけを 他 のポートと 通 信 可 能 にする 設 定 を 行 います 使 用 環 境 ( 前 提 条 件 ) VLAN-1(ポート 1)と VLAN-2(ポート 2)が 存 在 し VLAN 間 のルーティングが 可 能 な 環 境 とします フィルタリング 条 件 VLAN-1 のポート 1 に 接 続 しているパソコンのうち 特 定 IP アドレスのパソコンだけ 他 ポートとの 通 信 を 許 可 します ブラウザを 使 った 設 定 1 [Home]-[ACL]-[ACL Configuration]を 開 き ます Name に melco と 入 力 し Standard Type を 選 択 したら [Add]をクリックします ACL 設 定 ガイド 5

8 2 Action に Permit を 選 択 し IP に Host を 選 択 し Address に を 入 力 したら [Add]をクリックします Permit を Deny に 変 更 すると IP アドレス のパソコンからのトラフィック だけが 拒 否 される 設 定 となります Permit を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 拒 否 する 条 件 が 暗 に 付 加 されます このため 拒 否 するアドレスの 個 別 Deny 設 定 は 不 要 です 3 入 力 フォームの 上 にある 表 で 追 加 された 設 定 を 確 認 します 4 [Home]-[ACL]-[ACL Port Binding ]を 開 き 作 成 した ACL を 設 定 するポート 1 を Enable に したら melco を 選 択 します 5 [Apply]をクリックします コマンドを 使 った 設 定 Console#configure Configure モードへ 移 行 Console(config)#access-list ip standard melco Console(config-std-acl)#permit host 上 記 のコマンド 入 力 で permit を deny に 変 更 すると IP アドレス のパソコンからのトラ フィックだけが 拒 否 される 設 定 となります permit を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 拒 否 する 条 件 が 暗 に 付 加 されます このため 拒 否 するアドレスの 個 別 deny 設 定 は 不 要 です リスト 名 melco で IP ACL を 作 成 発 信 元 IP アドレスが の 場 合 のみ 任 意 のアドレスへ 通 過 を 許 可 に 設 定 Console(config-std-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 1/1 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco in 上 記 ポートに melco を 設 定 6 ACL 設 定 ガイド

9 特 定 の VLAN 間 の 通 信 を 拒 否 する この 例 では 任 意 の 3 つのポートに 接 続 された VLAN のうち 特 定 の VLAN 間 について 通 信 が 不 可 となる 設 定 を 行 います 使 用 環 境 ( 前 提 条 件 ) VLAN-1(ポート 1) VLAN-2(ポート 2)および VLAN-3(ポート 3)が 存 在 し 各 VLAN 間 のルーティングが 可 能 な 環 境 とします フィルタリング 条 件 VLAN-1 に 接 続 されているクラス C アドレスからのトラフィックを VLAN-2 で 拒 否 し 同 様 に VLAN-2に 接 続 されているクラスCアドレスからのトラフィックをVLAN-2で 拒 否 します Web ブラウザを 使 った 設 定 1 [Home]-[ACL]-[ACL Configuration]を 開 き ます Name に melco1 を 入 力 し Extend Type を 選 択 したら [Add]をクリックします ACL 設 定 ガイド 7

10 2 下 記 の 通 りに 設 定 して [Add]をクリックします Action: Deny Src IP: Ip Src Address: Src SubMask: Dst IP: Ip Dst Address: Dst SubMask: Protocol: Any Deny を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 許 可 する 条 件 が 暗 に 付 加 されます このため 許 可 するアドレスの 個 別 Permit 設 定 は 不 要 です 3 入 力 フォームの 上 にある 表 で 追 加 された 設 定 を 確 認 します 4 [Home]-[ACL]-[ACL Port Binding ]を 開 き 作 成 した ACL を 設 定 するポート 1 を Enable に したら melco1 を 選 択 します 5 6 [Apply]をクリックします [Home]-[ACL]-[ACL Configuration]を 開 き Name に melco2 を 入 力 し Extend Type を 選 択 したら [Add]をクリックします 8 ACL 設 定 ガイド

11 7 下 記 の 通 りに 設 定 して [Add]をクリックします Action: Deny Src IP: Ip Src Address: Src SubMask: Dst IP: Ip Dst Address: Dst SubMask: Protocol: Any Deny を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 許 可 する 条 件 が 暗 に 付 加 されます このため 許 可 するアドレスの 個 別 Permit 設 定 は 不 要 です 8 入 力 フォームの 上 にある 表 で 追 加 された 設 定 を 確 認 します 9 [Home]-[ACL]-[ACL Port Binding ]を 開 き 作 成 した ACL を 設 定 するポート 2 を Enable に したら melco2 を 選 択 します 10 [Apply]をクリックします ACL 設 定 ガイド 9

12 コマンドを 使 った 設 定 Console#configure Configure モードへ 移 行 Console(config)#access-list ip extended melco1 Console(config-ext-acl)#deny deny を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 許 可 する 条 件 が 暗 に 付 加 されます このため 許 可 するアドレスの 個 別 permit 設 定 は 不 要 です リスト 名 melco1 で IP ACL を 作 成 発 信 元 IP アドレス x から 宛 先 アドレス x へのトラ フィック 拒 否 を 設 定 Console(config-ext-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 1/1 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco1 in Console(config)#access-list ip extended melco2 Console(config-ext-acl)#deny 上 記 ポートに melco1 を 設 定 リスト 名 melco2 で IP ACL を 作 成 発 信 元 IP アドレス x から 宛 先 アドレス x へのトラ フィック 拒 否 を 設 定 Console(config-ext-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 1/2 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco2 in 上 記 ポートに melco2 を 設 定 10 ACL 設 定 ガイド

13 サーバとネットワークの 通 信 を 拒 否 する この 例 では 特 定 ポートに 接 続 された VLAN と 特 定 サーバとの 通 信 が 不 可 となる 設 定 を 行 います 使 用 環 境 ( 前 提 条 件 ) VLAN-1(ポート 1)と VLAN-2(ポート 2)が 存 在 し VLAN 間 のルーティングが 可 能 な 環 境 とします フィルタリング 条 件 VLAN-1 のポート 1 に 接 続 しているパソコンすべてから VLAN-2 のサーバへの 通 信 を 拒 否 します また VLAN-2 のサーバから VLAN-1 ネットワークへの 通 信 を 拒 否 します Web ブラウザを 使 った 設 定 1 [Home]-[ACL]-[ACL Configuration]を 開 き ます Name に melco1 を 入 力 し Extend Type を 選 択 したら [Add]をクリックします 2 下 記 の 通 りに 設 定 して [Add]をクリックします Action: Deny Src IP: Ip Src Address: Src SubMask: Dst IP: Host Dst Address: Protocol: Any Deny を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 許 可 する 条 件 が 暗 に 付 加 されます このため 許 可 するアドレスの 個 別 Permit 設 定 は 不 要 です ACL 設 定 ガイド 11

14 3 入 力 フォームの 上 にある 表 で 追 加 された 設 定 を 確 認 します 4 [Home]-[ACL]-[ACL Port Binding ]を 開 き 作 成 した ACL を 設 定 するポート 1 を Enable に したら melco1 を 選 択 します 5 6 [Apply]をクリックします [Home]-[ACL]-[ACL Configuration]を 開 き リスト 名 melco2 を 入 力 し Extend ACL を 選 択 したら [Add]をクリックします 7 下 記 の 通 りに 設 定 して [Add]をクリックします Action: Deny Src IP: Host Src Address: Dst IP: Ip Dst Address: Dst SubMask: Protocol: Any Deny を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 許 可 する 条 件 が 暗 に 付 加 されます このため 許 可 するアドレスの 個 別 Permit 設 定 は 不 要 です 8 入 力 フォームの 上 にある 表 で 追 加 された 設 定 を 確 認 します 12 ACL 設 定 ガイド

15 9 [Home]-[ACL]-[ACL Port Binding ]を 開 き ます 作 成 したACLを 設 定 するポート2を Enable にし melco2 を 選 択 します 10 [Apply]をクリックします コマンドを 使 った 設 定 Console#configure Configure モードへ 移 行 Console(config)#access-list ip extended melco1 Console(config-ext-acl)#deny deny を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 許 可 する 条 件 が 暗 に 付 加 されます このため 許 可 するアドレスの 個 別 permit 設 定 は 不 要 です リスト 名 melco1 で IP ACL を 作 成 発 信 元 IP アドレス x から サーバアドレス へのト ラフィック 拒 否 を 設 定 Console(config-ext-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 1/1 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco1 in Console(config)#access-list ip extended melco2 Console(config-ext-acl)#deny 上 記 ポートに melco1 を 設 定 リスト 名 melco2 で IP ACL を 作 成 サーバアドレス から 宛 先 アドレス x へのトラ フィック 拒 否 を 設 定 Console(config-ext-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 2/2 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco2 in 上 記 ポートに melco2 を 設 定 ACL 設 定 ガイド 13

16 サーバとネットワークの 通 信 を 許 可 する この 例 では 特 定 ポートに 接 続 された VLAN が 特 定 サーバへのアクセス 及 びサーバからの 通 信 を 許 可 する 設 定 を 行 います 使 用 環 境 ( 前 提 条 件 ) VLAN-1(ポート 1)と VLAN-2(ポート 2)が 存 在 し VLAN 間 のルーティングが 可 能 な 環 境 とします フィルタリング 条 件 VLAN-1 のポート 1 に 接 続 しているパソコンすべてから VLAN-2 のサーバへの 通 信 を 許 可 します また VLAN-2 のサーバから VLAN-1 ネットワークへの 通 信 を 許 可 します VLAN-1 のパソコンと VLAN-2 のパソコンの 間 の 通 信 は 拒 否 します Web ブラウザを 使 った 設 定 1 [Home]-[ACL]-[ACL Configuration]を 開 き ます Name に melco1 と 入 力 し Extend Type を 選 択 したら [Add]をクリックします 14 ACL 設 定 ガイド

17 2 下 記 の 通 りに 設 定 して [Add]をクリックします Action: Permit Src IP: Ip Src Address: Src SubMask: Dst IP: Host Dst Address: Protocol: Any Permit を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 拒 否 する 条 件 が 暗 に 付 加 されます このため 拒 否 するアドレスの 個 別 Deny 設 定 は 不 要 です 3 入 力 フォームの 上 にある 表 で 追 加 された 設 定 を 確 認 します 4 [Home]-[ACL]-[ACL Port Binding ]を 開 き ます 作 成 したACLを 設 定 するポート1を Enable にし melco1 を 選 択 します 5 6 [Apply]をクリックします [Home]-[ACL]-[ACL Configuration]を 開 き ます Name に melco2 と 入 力 し Extend Type を 選 択 したら [Add]をクリックします ACL 設 定 ガイド 15

18 7 下 記 の 通 りに 設 定 して [Add]をクリックします Action: Permit Src IP: Host Src Address: Dst IP: Ip Dst Address: Dst SubMask: Protocol: Any Permit を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 拒 否 する 条 件 が 暗 に 付 加 されます このため 拒 否 するアドレスの 個 別 Deny 設 定 は 不 要 です 8 入 力 フォームの 上 にある 表 で 追 加 された 設 定 を 確 認 します 9 [Home]-[ACL]-[ACL Port Binding ]を 開 き ます 作 成 したACLを 設 定 するポート2を Enable にし melco2 を 選 択 します 10 [Apply]をクリックします 16 ACL 設 定 ガイド

19 コマンドを 使 った 設 定 Console#configure Configure モードへ 移 行 Console(config)#access-list ip extended melco1 Console(config-ext-acl)#permit permit を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 拒 否 する 条 件 が 暗 に 付 加 されます このため 拒 否 するアドレスの 個 別 deny 設 定 は 不 要 です リスト 名 melco1 で IP ACL を 作 成 発 信 元 IP アドレス x から サーバアドレス へのト ラフィック 許 可 を 設 定 Console(config-ext-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 1/1 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco1 in Console(config)#access-list ip extended melco2 Console(config-ext-acl)#permit 上 記 ポートに melco1 を 設 定 リスト 名 melco2 で IP ACL を 作 成 サーバアドレス から 宛 先 アドレス x へのトラ フィック 許 可 を 設 定 Console(config-ext-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 2/2 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco2 in 上 記 ポートに melco2 を 設 定 ACL 設 定 ガイド 17

20 特 定 アプリケーションの 通 信 を 許 可 する この 例 では 任 意 のポートに 接 続 されたパソコン 間 で 特 定 アプリケーションの 通 信 のみ 可 能 に する 設 定 を 行 います 使 用 環 境 ( 前 提 条 件 ) VLAN-1(ポート 1)と VLAN-2(ポート 2)が 存 在 し VLAN 間 のルーティングが 可 能 な 環 境 とします フィルタリング 条 件 VLAN-1 2 間 において SNMP アプリケーション(UDP)による 通 信 のみを 許 可 し 他 の 通 信 は 拒 否 します Web ブラウザを 使 った 設 定 1 [Home]-[ACL]-[ACL Configuration]を 開 き ます Name に melco1 と 入 力 し Extend Type を 選 択 したら [Add]をクリックします 2 下 記 の 通 りに 設 定 して [Add]をクリックします Action: Permit Src IP: Any Dst IP: Any Protocol: UDP Src Port: 161 Permit を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 拒 否 する 条 件 が 暗 に 付 加 されます このため 拒 否 するアドレスの 個 別 Deny 設 定 は 不 要 です 18 ACL 設 定 ガイド

21 3 入 力 フォームの 上 にある 表 で 追 加 された 設 定 を 確 認 します 4 [Home]-[ACL]-[ACL Port Binding ]を 開 き 作 成 した ACL を 設 定 するポート 1 2 を Enable にし melco1 を 選 択 します 5 [Apply]をクリックします コマンドを 使 った 設 定 Console#configure Configure モードへ 移 行 Console(config)#access-list ip extended melco1 Console(config-ext-acl)#permit any any protocol 17 sport 161 Console(config-ext-acl)#permit any any protocol 17 dport 161 permit を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 拒 否 する 条 件 が 暗 に 付 加 されます このため 拒 否 するプロトコルの 個 別 deny 設 定 は 不 要 です リスト 名 melco1 で IP ACL を 作 成 任 意 のアドレス 間 において TCP/UDP 発 信 元 ポート 161 の UDP プロトコル のトラフィック 許 可 を 設 定 任 意 のアドレス 間 において TCP/UDP 宛 先 ポート 161 の UDP プロトコルの トラフィック 許 可 を 設 定 Console(config-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 1/1 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco1 in 上 記 ポートに melco1 を 設 定 Console(config-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 1/2 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco1 in 上 記 ポートに melco1 を 設 定 ACL 設 定 ガイド 19

22 TCP の 片 方 向 通 信 を 許 可 する この 例 では 任 意 のポートからインターネットへの TCP 通 信 を 可 能 とし インターネットから LAN への 通 信 を 不 可 とする 設 定 を 行 います 使 用 環 境 ( 前 提 条 件 ) VLAN-1 が 存 在 し インターネット(ポート 2)とのルーティングが 可 能 な 環 境 とします フィルタリング 条 件 TCP プロトコル 通 信 のみを 許 可 し ポート 2 で 受 信 する 接 続 要 求 パケット(SYN パケット) は 拒 否 します(LAN 側 から 開 始 する TCP 通 信 を 許 可 し インターネット 側 から 開 始 する TCP 通 信 を 拒 否 します) 20 ACL 設 定 ガイド

23 Web ブラウザを 使 った 設 定 1 [Home]-[ACL]-[ACL Configuration]を 開 き ます Name に melco1 と 入 力 し Extend Type を 選 択 したら [Add]をクリックします 2 下 記 の 通 りに 設 定 して [Add]をクリックします Action: Permit Src IP: Any Dst IP: Any Protocol: TCP Permit を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 拒 否 する 条 件 が 暗 に 付 加 されます このため 拒 否 するアドレスの 個 別 Deny 設 定 は 不 要 です 3 入 力 フォームの 上 にある 表 で 追 加 された 設 定 を 確 認 します 4 [Home]-[ACL]-[ACL Port Binding ]を 開 き 作 成 した ACL を 設 定 するポート 1 を Enable に したら melco1 を 選 択 します 5 [Apply]をクリックします ACL 設 定 ガイド 21

24 6 [Home]-[ACL]-[ACL Configuration]を 開 き ます Name に melco2 と 入 力 し Extend Type を 選 択 したら [Add]をクリックします 7 下 記 の 通 りに 設 定 して [Add]をクリックします Action: Deny Src IP: Any Dst IP: Any Protocol: TCP Control Code: SYN Control BitMask: SYN ACK Deny を 指 定 する ACL では 指 定 条 件 に 適 合 しない 通 信 をすべて 許 可 する 条 件 が 暗 に 付 加 されます このため 許 可 するアドレスの 個 別 Permit 設 定 は 不 要 です 8 入 力 フォームの 上 にある 表 で 追 加 された 設 定 を 確 認 します 9 [Home]-[ACL]-[ACL Port Binding ]を 開 き ます 作 成 したACLを 設 定 するポート2を Enable にし melco2 を 選 択 します 10 [Apply]をクリックします 22 ACL 設 定 ガイド

25 コマンドを 使 った 設 定 Console#configure Configure モードへ 移 行 Console(config)#access-list ip extended melco1 Console(config-ext-acl)#permit any any protocol tcp リスト 名 melco1 で IP ACL を 作 成 任 意 のアドレス 間 において TCP プロ トコルのトラフィック 許 可 を 設 定 Console(config-ext-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 1/1 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco1 in Console(config)#access-list ip extended melco2 Console(config-acl)#deny any any protocol tcp control-code 2 18 上 記 ポートに melco1 を 設 定 リスト 名 melco2 で IP ACL を 作 成 TCP プロトコルの 接 続 要 求 パケット 拒 否 を 設 定 Console(config-acl)#exit Configure モードに 戻 る Console(config)#interface ethernet 1/2 設 定 する 対 象 ポートを 指 定 Console(config-if)#ip access-group melco2 in 上 記 ポートに melco2 を 設 定 ACL 設 定 ガイド 23

26 3 コマンドリファレンス ACL に 関 するコマンドについて 説 明 します ACL 関 連 のコマンドは 以 下 のとおりです コマンド 一 覧 IP ACL コマンド 機 能 モード access-list ip IP ACL を 作 成 し configuration モードに 入 ります GC permit, deny Standard IP ACL にフィルタ 条 件 を 追 加 します Extended IP ACL にフィルタ 条 件 を 追 加 します STD ACL EXT ACL ip access-group 対 象 ポートに IP ACL を 指 定 します IC show ip accessgroup show ip accesslist MAC ACL すべての IP ACL 対 象 ポートとポート 別 の IP ACL(リ スト 名 ) を 表 示 します 任 意 の IP ACL のフィルタ 条 件 を 表 示 します PE PE access-list mac MAC ACLを 作 成 し configurationモードに 入 ります GC permit, deny MAC ACL にフィルタ 条 件 を 追 加 します MAC ACL mac access-group 対 象 ポートに MAC ACL を 指 定 します IC show mac access-group show mac access-list General Description show access-list show accessgroup すべての MAC ACL 対 象 ポートとポート 別 の MAC ACL (リスト 名 ) を 表 示 します 任 意 の MAC ACL のフィルタ 条 件 を 表 示 します すべての ACL (リスト 名 ) とフィルタ 条 件 を 表 示 し ます すべての ACL 対 象 ポートとポート 別 の ACL (リスト 名 ) を 表 示 します PE PE PE PE 24 ACL 設 定 ガイド

27 access-list ip このコマンドは IP ACL の 新 規 作 成 や 既 存 の Standard / Extended IP ACL configuration モードへの 移 行 に 使 用 します 任 意 の ACL を 削 除 する 場 合 は コマンドの 先 頭 に no を 付 加 します コマンドの 構 文 access-list ip {standard extended} acl_name no access-list ip {standard extended} acl_name standard :Standard IP ACL 指 定 extended :Extended IP ACL 指 定 acl_name :リスト 名 ( 最 大 16 文 字 ) デフォルト 設 定 なし コマンドモード Global Configuration コマンド 使 用 例 コマンド 解 説 Console(config)#access-list ip standard melco1 Console(config-std-acl)# 新 規 ACL 作 成 時 には 最 低 1 つの 条 件 設 定 が 必 要 です 関 連 コマンド permit, deny ip access-group show ip access-list ACL 設 定 ガイド 25

28 permit, deny (Standard ACL) このコマンドは Standard IP ACL への 条 件 追 加 に 使 用 します 発 信 元 IP アドレスのみに 基 づいてパケットをフィルタする 条 件 を 指 定 します permit は 設 定 したフィルタ 条 件 を 許 可 として deny は 拒 否 として 追 加 します 任 意 の 条 件 を 削 除 する 場 合 は コマンドの 先 頭 に no を 付 加 します コマンドの 構 文 {permit deny} {any source bitmask host source} no {permit deny} {any source bitmask host source} any : 任 意 の 発 信 元 IP アドレス source : 発 信 元 IP アドレス bitmask : 許 可 アドレスを 指 定 するサブネットマスク host : 任 意 のホスト 指 定 するときのキーワード デフォルト 設 定 なし コマンドモード Standard ACL コマンド 使 用 例 下 記 例 では という IP アドレスと ワイルドカードを 使 って x から x の 範 囲 のアドレスが 許 可 される 条 件 を 設 定 します Console(config-std-acl)#permit host Console(config-std-acl)#permit Console(config-std-acl)# 1 つの ACL の 中 で 許 可 の 条 件 と 拒 否 の 条 件 を 混 在 させて 指 定 することはできません 新 規 ACL 作 成 時 には 最 低 1 つの 条 件 を 設 定 してください 1 つの ACL に 設 定 できる 条 件 は 最 大 32 件 です 設 定 した 条 件 は リストの 最 後 に 追 加 されます 関 連 コマンド access-list ip 26 ACL 設 定 ガイド

29 permit, deny (Extended ACL) このコマンドは Extended IP ACL への 条 件 追 加 に 使 用 します 発 信 元 / 宛 先 IP アドレス プロトコル 番 号 発 信 元 / 宛 先 TCP/UDP ポート TCP コント ロールコードによってパケットをフィルタする 条 件 を 設 定 します permit は 設 定 したフィルタ 条 件 を 許 可 として deny は 拒 否 として 追 加 します 任 意 の 条 件 を 削 除 する 場 合 は コマンドの 先 頭 に no を 付 加 します コマンドの 構 文 {permit deny} {any source bitmask host source} {any destination bitmask host destination} [protocol protocol-number] no {permit deny} {any source bitmask host source} {any destination bitmask host destination} [protocol protocol-number] {permit deny} {any source bitmask host source} {any destination bitmask host destination} {protocol tcp} [sport source-port] [dport destination-port] [control-code control-code code-bitmask] no {permit deny} {any source bitmask host source} {any destination bitmask host destination} {protocol tcp} [sport source-port] [dport destination-port] [control-code control-code code-bitmask] {permit deny} {any source bitmask host source} {any destination bitmask host destination} {protocol udp} [sport source-port] [dport destination-port] no {permit deny} {any source bitmask host source} {any destination bitmask host destination} {protocol udp} [sport source-port] [dport destination-port] any : 任 意 の IP アドレス ( 発 信 元 または 宛 先 ) source : 発 信 元 IP アドレス destination : 宛 先 IP アドレス bitmask : 許 可 アドレスを 規 定 するサブネットマスク host : 任 意 のホスト 指 定 アドレス source-port :TCP/UDP 発 信 元 ポート (0 ~ 65535) destination-port :TCP/UDP 宛 先 ポート (0 ~ 65535) protocol-number : 指 定 のプロトコル 番 号 (0 ~ 255) 例 ICMP : 1 TCP : 6 UDP : 17 control-code :TCP ヘッダのフラグビット (0 ~ 63) code-bitmask :ACL の 条 件 に 組 み 入 れる control-code を 指 定 するビットマスク (0 ~ 63) デフォルト 設 定 なし コマンドモード Extended ACL ACL 設 定 ガイド 27

30 コマンド 使 用 例 下 記 例 sample-1 では 発 信 元 アドレスが x 以 内 であれば どのパケットでも 受 け 入 れる 条 件 を 設 定 します ( 宛 先 アドレスは 任 意 ) sample-1 Console(config-ext-acl)#permit any Console(config-ext-acl)# 下 記 例 sample-2 では 宛 先 の TCP ポートが 80 で クラス C アドレス から 任 意 の 宛 先 アドレスへの TCP パケットが 許 可 される 条 件 を 設 定 します sample-2 Console(config-ext-acl)#permit any dport 80 Console(config-ext-acl)# 下 記 例 sample-3 では TCP コントロールコードが "SYN" に 設 定 されたクラス C ア ドレス のすべての TCP パケットが 許 可 される 条 件 を 設 定 します sample-3 Console(config-ext-acl)#permit any tcp control-code 2 2 Console(config-ext-acl)# 1 つの ACL の 中 で 許 可 の 条 件 と 拒 否 の 条 件 を 混 在 させて 指 定 することはできません 新 規 ACL 作 成 時 には 最 低 1 つの 条 件 を 設 定 してください 1 つの ACL に 設 定 できる 条 件 は 最 大 32 件 です 設 定 した 条 件 は リストの 最 後 に 追 加 されます コントロールコードおよびコードビットマスクは 以 下 の 項 目 の 中 で 該 当 するものの 和 を 入 力 してください 1 :FIN (Finish) 8 :PSH (Push) 2 :SYN (Synchronize) 16 :ACK (Acknowledgement) 4 :RST (Reset) 32 :URG (Urgent pointer) 入 力 例 " control-code 2 2 "... SYN 有 効 " control-code "... SYN 有 効 かつ ACK 有 効 " control-code 2 18 "... SYN 有 効 かつ ACK 無 効 関 連 コマンド access-list ip 28 ACL 設 定 ガイド

31 ip access-group このコマンドは 対 象 ポートに IP ACL を 指 定 します ポートの 指 定 を 削 除 する 場 合 は コマンドの 先 頭 に no を 付 加 します コマンドの 構 文 ip access-group {standard extended} acl_name in no ip access-group {standard extended} acl_name in standard :Standard IP ACL の 指 定 extended :Extended IP ACL の 指 定 acl_name :リスト 名 ( 最 大 16 文 字 ) in :ポートへの 入 力 側 フィルタ 指 定 (インプットパケットの 条 件 照 合 ) デフォルト 設 定 なし コマンドモード Interface Configuration (Ethernet) コマンド 使 用 例 Console(config)#interface ethrenet 1/25 Console(config-if)#ip access-group standard melco1 in Console(config-if)# 関 連 コマンド show ip access-list show ip access-group このコマンドは すべての IP ACL 対 象 ポートと 各 ポートに 設 定 された ACL (リスト 名 ) を 表 示 します コマンドの 構 文 show ip access-group コマンドモード Privileged Exec コマンド 使 用 例 Console#show ip access-group Interface Ethernet 1/25 IP standard access-list melco1 Console# 関 連 コマンド ip access-group ACL 設 定 ガイド 29

32 show ip access-list このコマンドは 任 意 の IP ACL のフィルタ 条 件 を 表 示 します コマンドの 構 文 show ip access-list {standard extended} [acl_name] standard :Standard IP ACL の 指 定 extended :Extended IP ACL の 指 定 acl_name :リスト 名 ( 最 大 16 文 字 ) コマンドモード Privileged Exec コマンド 使 用 例 Console#show ip access-list standard IP standard access-list melco1: Permit host Permit Console# 関 連 コマンド permit, deny ip access-group access-list mac このコマンドは MAC ACL の 新 規 作 成 や 既 存 の MAC ACL configuration モードへの 移 行 に 使 用 します 任 意 の MAC ACL を 削 除 する 場 合 は コマンドの 先 頭 に no を 付 加 します コマンドの 構 文 access-list mac acl_name no access-list mac acl_name acl_name :リスト 名 ( 最 大 16 文 字 ) デフォルト 設 定 なし コマンドモード Global Configuration コマンド 使 用 例 Console(config)#access-list mac melco2 Console(config-mac-acl)# 新 規 ACL 作 成 時 には 最 低 1 つの 条 件 設 定 が 必 要 です 関 連 コマンド permit, deny mac access-group show mac access-list 30 ACL 設 定 ガイド

33 permit, deny (MAC ACL) このコマンドは MAC ACL への 条 件 追 加 に 使 用 します 発 信 元 / 宛 先 MAC アドレス (physical layer address) イーサネットプロトコル 番 号 によっ てパケットをフィルタする 条 件 を 設 定 します permit は 設 定 したフィルタ 条 件 を 許 可 として deny は 拒 否 として 追 加 します 任 意 の 条 件 を 削 除 する 場 合 は コマンドの 先 頭 に no を 付 加 します コマンドの 構 文 {permit deny} [packet-format] {any host source source bitmask} {any host destination destination bitmask} {any ethertype protocol} no {permit deny} [packet-format] {any host source source bitmask} {any host destination destination bitmask} {any ethertype protocol} packet-format : tagged :タグ 付 きEthernet802.3 パケット tagged-eth2 :タグ 付 きEthernet II パケット untegged :タグなしEthernet802.3 パケット untagged-eth2 :タグなしEthernet II パケット any : 任 意 の 発 信 元 MAC アドレス 宛 先 MAC アドレス またはイーサ ネットプロトコル source : 発 信 元 MAC アドレス source bitmask : 発 信 元 MAC アドレスのビットマスク destination : 宛 先 MAC アドレス destination bitmask : 宛 先 MAC アドレスのビットマスク protocol : 指 定 のイーサネットプロトコル 番 号 (0 ~ 65535) デフォルト 設 定 なし コマンドモード MAC ACL コマンド 使 用 例 下 記 例 では イーサネットプロトコル 番 号 0800 のすべての 発 信 元 MAC アドレスから 宛 先 アドレス 00-e de へのパケットが 許 可 される 条 件 を 設 定 します Console(config-mac-acl)#permit any 00-e de ethertype 0800 Console(config-mac-acl)# 1 つの ACL の 中 で 許 可 の 条 件 と 拒 否 の 条 件 を 混 在 させて 指 定 することはできません 新 規 ACL 作 成 時 には 最 低 1 つの 条 件 を 設 定 してください 1 つの ACL に 設 定 できる 条 件 は 最 大 32 件 です 設 定 した 条 件 は リストの 最 後 に 追 加 されます ethertype のオプションは Ethernet II フォーマットのパケットにのみ 使 用 できます イーサネットプロトコル 番 号 の 詳 細 なリストは RFC1060 をご 覧 ください 一 般 的 なイーサネットプロトコル 番 号 は 次 のとおりです 0800 IP 0806 ARP 8137 IPX 関 連 コマンド access-list mac ACL 設 定 ガイド 31

34 mac access-group このコマンドは 対 象 ポートに MAC ACL を 指 定 します 対 象 ポート 指 定 を 削 除 する 場 合 は コマンドの 先 頭 に no を 付 加 します コマンド 構 文 mac access-group acl_name in acl_name :リスト 名 ( 最 大 16 文 字 ) in :ポートへの 入 力 側 フィルタ 指 定 (インプットパケットの 条 件 照 合 ) デフォルト 設 定 なし コマンドモード Interface Configuration (Ethernet) コマンド 使 用 例 Console(config)#interface ethernet 1/25 Console(config-if)#mac access-group melco2 in Console(config-if)# 関 連 コマンド show mac access-list show mac access-group このコマンドは すべての MAC ACL 対 象 ポートと 各 ポートに 設 定 された ACL (リスト 名 ) を 表 示 します コマンド 構 文 show mac access-group コマンドモード Privileged Exec コマンド 使 用 例 Console#show mac access-group Interface Ethernet 1/25 MAC access-list melco2 Console# 関 連 コマンド mac access-group 32 ACL 設 定 ガイド

35 show mac access-list このコマンドは 任 意 の MAC ACL のフィルタ 条 件 を 表 示 します コマンド 構 文 show mac access-list [acl_name] acl_name :リスト 名 ( 最 大 16 文 字 ) コマンドモード Privileged Exec コマンド 使 用 例 Console#show mac access-list MAC access-list melco2: permit any 00-e de ethertype 0800 Console# 関 連 コマンド permit, deny mac access-group show access-list このコマンドは すべての ACL (リスト 名 ) とフィルタ 条 件 を 表 示 します コマンドの 構 文 show access-list コマンドモード Privileged Exec コマンド 使 用 例 console#show access-list IP standard access-list melco1: permit host permit IP extended access-list melco3: permit any permit any dport 80 permit any protocol tcp control-code 2 2 MAC access-list melco2: permit any de Ethertype 800 Console# ACL 設 定 ガイド 33

36 show access-group このコマンドは すべての ACL 対 象 ポートとポート 別 の ACL (リスト 名 ) を 表 示 します コマンドの 構 文 show access-group コマンドモード Privileged Executive コマンド 使 用 例 Console#show access-group Interface Ethernet 1/25 IP standard access-list melco1 MAC access-list melco2 Console# 34 ACL 設 定 ガイド

37 MEMO ACL 設 定 ガイド 35

38 MEMO 36 ACL 設 定 ガイド

39 ACL 設 定 ガイド 2003 年 5 月 16 日 第 2 版 発 行 発 行 株 式 会 社 メルコ

40 PY DM