ACL によるネットワーク セキュリティの設定

CHAPTER 38 この 章 では Access Control List(ACL; アクセス 制 御 リスト)(アクセス リストとも 呼 ばれる)を 使 用 して IE 3000 スイッチにネットワーク セキュリティを 設 定 する 手 順 について 説 明 します この 章 で 言 及 される IP ACL は IP バージョン 4(IPv4)ACL を 指 しています IPv6 ACL の 詳 細 については 第 44 章 IPv6 ACL の 設 定 を 参 照 してください この 章 で 使 用 しているコマンドの 構 文 および 使 用 方 法 の 詳 細 については このリリースのコマンド リ ファレンス Cisco IOS IP Configuration Guide, Release 12.2 にある IP Addressing and Services の Configuring IP Services および Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services, Release 12.2 を 参 照 してください Cisco IOS のマニュアルは Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Configuration Guides] または [Command References] から 入 手 できます ACL の 概 要 (P.38-1) IPv4 ACL の 設 定 (P.38-7) 名 前 付 き MAC 拡 張 ACL の 作 成 (P.38-28) VLAN マップの 設 定 (P.38-31) VLAN マップとルータ ACL の 併 用 (P.38-38) IPv4 ACL 設 定 の 表 示 (P.38-42) ACL の 概 要 パケット フィルタリングは ネットワーク トラフィックの 制 限 や 特 定 のユーザまたは 装 置 による ネットワーク 利 用 の 制 限 に 役 立 ちます ACL は ルータまたはスイッチを 通 過 するトラフィックを フィルタリングし 指 定 したインターフェイスまたは VLAN を 通 るパケットを 許 可 または 拒 否 します ACL とは パケットに 適 用 される 許 可 条 件 と 拒 否 条 件 を 列 挙 したものです インターフェイス 上 でパ ケットが 受 信 されると スイッチはパケット 内 の 各 フィールドと 適 用 されているすべての ACL を 比 較 し アクセス リストで 指 定 された 基 準 に 基 づいて そのパケットを 転 送 するのに 必 要 な 許 可 があるこ とを 確 認 します スイッチは パケットをアクセス リスト 内 の 各 条 件 と 1 つずつ 照 合 してテストしま す 最 初 の 条 件 一 致 で スイッチがパケットを 受 け 入 れるか 拒 否 するかが 決 まります 最 初 の 条 件 一 致 後 にスイッチはテストを 停 止 するため リスト 内 の 条 件 の 順 序 が 重 要 となります どの 条 件 も 一 致 しな い 場 合 スイッチはパケットを 拒 否 します 制 限 がない 場 合 はスイッチがパケットを 転 送 しますが そ うでない 場 合 はスイッチがパケットを 廃 棄 します スイッチは VLAN 内 でブリッジされるパケット を 含 め 転 送 するすべてのパケットに 対 して ACL を 使 用 できます ルータまたはレイヤ 3 スイッチ 上 でアクセス リストを 設 定 すると ネットワークの 基 本 的 なセキュリ ティが 実 現 されます ACL を 設 定 しないと スイッチを 通 過 するすべてのパケットがネットワークの どの 部 分 に 対 しても 許 可 される 可 能 性 があります ACL を 使 用 すると ネットワークのさまざまな 部 分 にアクセスできるホストを 制 御 したり ルータ インターフェイスで 転 送 またはブロックされるトラ 38-1

ACL の 概 要 第 38 章 フィックのタイプを 決 定 したりすることができます たとえば E メール トラフィックは 転 送 を 許 可 し Telnet トラフィックは 禁 止 するといった 設 定 が 可 能 です ACL の 設 定 により インバウンド トラ フィック アウトバウンド トラフィック またはその 両 方 をブロックできます ACL には Access Control Entry(ACE; アクセス 制 御 エントリ)の 順 序 指 定 リストが 含 まれています 各 ACE には 許 可 または 拒 否 と パケットがその ACE と 一 致 するために 満 たす 必 要 のある 条 件 の セットが 指 定 されます 許 可 または 拒 否 の 意 味 は その ACL が 使 用 されているコンテキストによって 決 まります このスイッチでは IP ACL およびイーサネット(MAC)ACL がサポートされています IP ACL は Transmission Control Protocol(TCP; 伝 送 制 御 プロトコル) User Datagram Protocol (UDP; ユーザ データグラム プロトコル) Internet Group Management Protocol(IGMP; インター ネット グループ 管 理 プロトコル) Internet Control Message Protocol(ICMP; インターネット 制 御 メッセージ プロトコル)を 含 む IPv4 トラフィックをフィルタリングします イーサネット ACL は 非 IP トラフィックをフィルタリングします このスイッチでは Quality Of Service(QoS; サービス 品 質 ) 分 類 の ACL もサポートされています 詳 細 については QoS ACL に 基 づく 分 類 (P.39-8)を 参 照 してください ここでは 次 の 概 念 情 報 について 説 明 します サポートされる ACL (P.38-2) フラグメント 化 およびフラグメント 解 除 されたトラフィックの 処 理 (P.38-5) サポートされる ACL ( 注 ) ルータ ACL および VLAN マップは IP サービス イメージが 稼 動 しているスイッチ 上 でだけサポート されます ポート ACL は レイヤ 2 インターフェイスに 着 信 するトラフィックをアクセス 制 御 します 発 信 方 向 のポート ACL は このスイッチではサポートされていません レイヤ 2 インターフェイスに は IP アクセス リストと MAC アクセス リストを 1 つずつしか 適 用 できません 詳 細 については ポート ACL (P.38-3)を 参 照 してください ルータ ACL は VLAN 間 のルーテッド トラフィックをアクセス 制 御 し 特 定 の 方 向 ( 着 信 または 発 信 )のレイヤ 3 インターフェイスに 適 用 されます 詳 細 については ルータ ACL (P.38-4) を 参 照 してください VLAN ACL または VLAN マップは すべてのパケット(ブリッジドおよびルーテッド)をアクセ ス 制 御 します VLAN マップを 使 用 すると 同 じ VLAN 内 の 装 置 間 のトラフィックをフィルタリ ングできます VLAN マップを 設 定 すると IPv4 のレイヤ 3 アドレスに 基 づいたアクセス 制 御 を 行 います サポートされていないプロトコルは イーサネット ACE を 使 用 する MAC アドレスを 通 じてアクセス 制 御 されます VLAN マップが VLAN に 適 用 されると VLAN に 着 信 するすべて のパケット(ルーテッドまたはブリッジド)が VLAN マップと 照 合 されます パケットは ス イッチ ポートまたはルーティングされたあとのルーテッド ポートのいずれかを 通 して VLAN に 入 ることができます 詳 細 については VLAN マップ (P.38-5)を 参 照 してください ユーザは 同 一 のスイッチ 上 で 入 力 ポート ACL ルータ ACL VLAN マップを 使 用 できます ただ し ポート ACL はルータ ACL や VLAN マップよりも 優 先 されます 入 力 ポート ACL と VLAN マップの 両 方 が 適 用 されている 場 合 ポート ACL が 適 用 されたポート 上 で 受 信 された 着 信 パケットには ポート ACL のフィルタが 適 用 されます その 他 のパケットに は VLAN マップのフィルタが 適 用 されます 38-2

第 38 章 ACL の 概 要 Switch Virtual Interface(SVI; スイッチ 仮 想 インターフェイス)に 入 力 ルータ ACL および 入 力 ポート ACL が 設 定 されている 場 合 に ポート ACL が 適 用 されているポートにパケットが 着 信 す ると このパケットはポート ACL によってフィルタリングされます 他 のポートで 受 信 した 着 信 のルーティング IP パケットには ルータ ACL のフィルタが 適 用 されます 他 のパケットはフィル タリングされません 出 力 ルータ ACL および 入 力 ポート ACL が SVI に 存 在 している 場 合 ポート ACL が 適 用 された ポート 上 で 受 信 された 着 信 パケットには ポート ACL のフィルタが 適 用 されます 発 信 するルー ティング IP パケットには ルータ ACL のフィルタが 適 用 されます 他 のパケットはフィルタリン グされません VLAN マップ 入 力 ルータ ACL および 入 力 ポート ACL が SVI に 存 在 している 場 合 ポート ACL が 適 用 されたポート 上 で 受 信 された 着 信 パケットには ポート ACL のフィルタだけが 適 用 されま す 他 のポートで 受 信 した 着 信 のルーティング IP パケットには VLAN マップおよびルータ ACL のフィルタが 適 用 されます 他 のパケットには VLAN マップのフィルタだけ 適 用 されます VLAN マップ 出 力 ルータ ACL および 入 力 ポート ACL が SVI に 存 在 している 場 合 ポート ACL が 適 用 されたポート 上 で 受 信 された 着 信 パケットには ポート ACL のフィルタだけが 適 用 さ れます 発 信 するルーティング IP パケットには VLAN マップおよびルータ ACL のフィルタが 適 用 されます 他 のパケットには VLAN マップのフィルタだけ 適 用 されます IEEE 802.1Q トンネリングがインターフェイス 上 で 設 定 されている 場 合 トンネル ポートで 受 信 され た IEEE 802.1Q カプセル 化 IP パケットには MAC ACL のフィルタを 適 用 できますが IP ACL のフィ ルタは 適 用 できません これは スイッチが IEEE 802.1Q ヘッダー 内 部 のプロトコルを 認 識 しないた めです ルータ ACL ポート ACL および VLAN マップに この 制 限 が 適 用 されます IEEE 802.1Q トンネリングの 詳 細 については 第 20 章 IEEE 802.1Q およびレイヤ 2 プロトコル トンネリ ングの 設 定 を 参 照 してください ポート ACL ポート ACL は スイッチ 上 のレイヤ 2 インターフェイスに 適 用 される ACL です ポート ACL は EtherChannel インターフェイス 上 ではなく 物 理 インターフェイス 上 でだけサポートされ 着 信 方 向 の インターフェイスにだけ 適 用 できます 次 のアクセス リストがサポートされています 送 信 元 アドレスを 使 用 する 標 準 IP アクセス リスト 送 信 元 アドレスおよび 宛 先 アドレスと 任 意 のプロトコル タイプ 情 報 を 使 用 する 拡 張 IP アクセス リスト 送 信 元 MAC アドレスおよび 宛 先 MAC アドレスと 任 意 のプロトコル タイプ 情 報 を 使 用 する MAC 拡 張 アクセス リスト スイッチは 指 定 したインターフェイス 上 で 設 定 されたすべての 着 信 機 能 と 関 連 付 けられた ACL を 検 証 し パケットが ACL 内 のエントリとどのように 一 致 するかに 基 づいてパケット 転 送 を 許 可 または 拒 否 します このようにして ACL はネットワーク 全 体 またはネットワークの 一 部 に 対 するアクセスを 制 御 します 図 38-1 に すべてのワークステーションが 同 一 VLAN 内 にある 場 合 に ポート ACL を 使 用 してネットワークへのアクセスを 制 御 する 例 を 示 します レイヤ 2 入 力 に 適 用 された ACL は ホス ト A から 人 事 部 のネットワークへのアクセスは 許 可 しますが ホスト B から 同 じネットワークへのア クセスは 禁 止 します ポート ACL は 着 信 方 向 のレイヤ 2 インターフェイスにしか 適 用 できません 38-3

ACL の 概 要 第 38 章 図 38-1 ACL によるネットワークへのトラフィックの 制 御 A B Human Resources Research & Development = B A ACL = 101365 ポート ACL をトランク ポートに 適 用 すると ACL によってトランク ポート 上 に 存 在 するすべての VLAN のトラフィックがフィルタリングされます ポート ACL を 音 声 VLAN のポートに 適 用 すると ACL によってデータと 音 声 の 両 方 の VLAN のトラフィックがフィルタリングされます ポート ACL を 使 用 すると IP トラフィックは IP アクセス リストでフィルタリングし 非 IP トラ フィックは MAC アドレスでフィルタリングすることができます インターフェイスに IP アクセス リ ストと MAC アクセス リストの 両 方 を 適 用 すると 同 じレイヤ 2 インターフェイスで IP トラフィック と 非 IP トラフィックの 両 方 をフィルタリングできます ( 注 ) 1 つのレイヤ 2 インターフェイスには IP アクセス リストと MAC アクセス リストを 1 つずつしか 適 用 できません IP アクセス リストまたは MAC アクセス リストがレイヤ 2 インターフェイス 上 ですで に 設 定 されている 場 合 に 新 しい IP アクセス リストまたは MAC アクセス リストをこのインターフェ イスに 適 用 すると 以 前 に 設 定 されていた ACL は 新 しい ACL で 置 換 されます ルータ ACL VLAN へのレイヤ 3 インターフェイスである SVI 物 理 レイヤ 3 インターフェイス およびレイヤ 3 EtherChannel インターフェイスに ルータ ACL を 適 用 できます ルータ ACL はインターフェイス 上 で 特 定 の 方 向 ( 着 信 または 発 信 )に 対 して 適 用 します インターフェイス 上 の 各 方 向 で 1 つのルータ ACL を 適 用 できます 1 つの ACL をある 特 定 インターフェイスの 複 数 の 機 能 に 使 用 できます また 1 つの 機 能 に 複 数 の ACL を 使 用 することもできます 複 数 の 機 能 で 1 つのルータ ACL が 使 用 されている 場 合 は その ACL が 複 数 回 検 証 されます IPv4 トラフィックに 対 して 次 のアクセス リストがサポートされています 標 準 IP アクセス リストでは 照 合 処 理 に 送 信 元 アドレスが 使 用 されます 拡 張 IP アクセス リストでは 照 合 処 理 に 送 信 元 アドレスおよび 宛 先 アドレスと 任 意 のプロトコ ル 情 報 が 使 用 されます 38-4

第 38 章 ACL の 概 要 ポート ACL と 同 様 に スイッチは 指 定 のインターフェイス 上 で 設 定 された 機 能 と 関 連 付 けられた ACL を 検 証 します ただし ルータ ACL は 双 方 向 で 使 用 できますが 適 用 できるのは 着 信 ポート ACL だ けです パケットがインターフェイス 上 でスイッチに 入 ってくると そのインターフェイス 上 で 設 定 さ れたすべての 着 信 機 能 と 関 連 付 けられた ACL が 検 証 されます パケットがルーティングされたあと ネクストホップに 転 送 される 前 に 出 力 インターフェイス 上 で 設 定 された 発 信 機 能 と 関 連 付 けられた ACL がすべて 検 証 されます ACL は ACL 内 のエントリとパケットの 一 致 結 果 に 応 じて パケット 転 送 を 許 可 するか 拒 否 するかを 決 めます ACL を 使 用 すると ネットワーク 全 体 またはネットワークの 一 部 に 対 するアクセス 制 御 が 行 えます 図 38-1 では ルータ 入 力 に 適 用 された ACL は ホスト A から 人 事 部 のネットワークへの アクセスは 許 可 しますが ホスト B から 同 じネットワークへのアクセスは 禁 止 します VLAN マップ すべてのトラフィックをアクセス 制 御 するには VLAN ACL または VLAN マップを 使 用 します VLAN マップは VLAN に(または VLAN から)ルーティングされる あるいはスイッチの VLAN 内 でブリッジされるすべてのパケットに 適 用 できます VLAN マップは セキュリティ パケット フィルタリングに 使 用 します VLAN マップは 方 向 ( 入 力 ま たは 出 力 ) 別 では 定 義 されません IPv4 トラフィックのレイヤ 3 アドレスと 照 合 する VLAN マップを 設 定 できます 非 IP プロトコルはすべて MAC VLAN マップを 使 用 する MAC アドレスおよび Ethertype を 通 して アクセス 制 御 されます(IP トラフィックは MAC VLAN マップではアクセス 制 御 されません) スイッ チを 通 過 するパケットに 対 してだけ VLAN マップを 適 用 できますが ハブ 上 またはこのスイッチに 接 続 された 別 のスイッチ 上 のホスト 間 のトラフィックに 対 しては VLAN マップを 適 用 できません VLAN マップを 使 用 すると マップ 内 で 指 定 されたアクションに 基 づいて パケット 転 送 が 許 可 また は 拒 否 されます 図 38-2 に VLAN マップを 適 用 して VLAN 10 内 のホスト A からの 特 定 タイプの トラフィックが 転 送 されないようにする 方 法 を 示 します VLAN に 適 用 できる VLAN マップは 1 つだ けです 図 38-2 VLAN マップによるトラフィック 制 御 A VLAN 10 B VLAN 10 = A VLAN = 92919 フラグメント 化 およびフラグメント 解 除 されたトラフィックの 処 理 IP パケットは ネットワークを 通 過 するときにフラグメント 化 できます フラグメント 化 が 行 われた 場 合 TCP または UDP ポート 番 号 ICMP タイプおよびコードなどのレイヤ 4 情 報 は パケットの 先 頭 が 格 納 されたフラグメントにだけ 含 まれます 他 のすべてのフラグメントには この 情 報 はありません 38-5

ACL の 概 要 第 38 章 ACE の 中 には レイヤ 4 情 報 を 確 認 しないため すべてのパケット フラグメントに 適 用 できるものも あります レイヤ 4 情 報 をテストする ACE は 標 準 の 方 法 では フラグメント 化 された IP パケット 内 の 大 半 のフラグメントに 適 用 できません フラグメントにレイヤ 4 情 報 がなく ACE が 何 らかのレイ ヤ 4 情 報 をテストする 場 合 は 照 合 ルールが 変 更 されます フラグメント 内 のレイヤ 3 情 報 (TCP UDP などのプロトコル タイプを 含 む)を 確 認 する 許 可 ACE は 欠 落 しているレイヤ 4 情 報 の 内 容 にかかわらず フラグメントと 一 致 するものと 見 なさ れます レイヤ 4 情 報 を 確 認 する 拒 否 ACE は フラグメントにレイヤ 4 情 報 が 含 まれていない 限 り その フラグメントとは 一 致 しません 次 のコマンドで 設 定 されたアクセス リスト 102 が フラグメント 化 された 3 つのパケットに 適 用 され るとします Switch(config)# access-list 102 permit tcp any host 10.1.1.1 eq smtp Switch(config)# access-list 102 deny tcp any host 10.1.1.2 eq telnet Switch(config)# access-list 102 permit tcp any host 10.1.1.2 Switch(config)# access-list 102 deny tcp any any ( 注 ) この 例 の 最 初 および 2 番 めの ACE で 宛 先 アドレスのあとの eq キーワードは TCP 宛 先 ポートの 既 知 の 番 号 がそれぞれ Simple Mail Transfer Protocol(SMTP; シンプル メール 転 送 プロトコル)および Telnet と 一 致 しているかどうかをテストすることを 意 味 します パケット A は ホスト 10.2.2.2 ポート 65000 から SMTP ポート 上 のホスト 10.1.1.1 に 転 送 され る TCP パケットです すべてのレイヤ 4 情 報 が 存 在 するため このパケットがフラグメント 化 さ れている 場 合 は 最 初 のフラグメントが 完 全 なパケットであるかのように 最 初 の ACE( 許 可 )と 一 致 します 最 初 の ACE はフラグメントに 適 用 された 際 のレイヤ 3 情 報 をチェックするだけなの で SMTP ポート 情 報 が 含 まれていなくても 残 りのフラグメントも 最 初 の ACE と 一 致 します この 例 の 情 報 では パケットは TCP 宛 先 は 10.1.1.1 になっています パケット B は ホスト 10.2.2.2 ポート 65001 から Telnet ポート 上 のホスト 10.1.1.2 に 転 送 され ます すべてのレイヤ 3 およびレイヤ 4 情 報 が 存 在 するため このパケットがフラグメント 化 され ている 場 合 は 最 初 のフラグメントが 2 番 めの ACE( 拒 否 )と 一 致 します パケット 内 の 残 りの フラグメントにはレイヤ 4 情 報 がないため 2 番 めの ACE とは 一 致 しません 代 わりに 残 りの フラグメントは 3 番 めの ACE( 許 可 )と 一 致 します 最 初 のフラグメントは 拒 否 されたため ホスト 10.1.1.2 は 完 全 なパケットを 再 構 成 できません こ のため パケット B は 事 実 上 拒 否 されます ただし 許 可 されたあとのフラグメントは パケッ トの 再 構 成 を 試 みる 際 に ネットワーク 上 の 帯 域 幅 とホスト 10.1.1.2 のリソースを 消 費 します フラグメント 化 されたパケット C は ホスト 10.2.2.2 ポート 65001 からホスト 10.1.1.3 ポート ftp に 転 送 されます このパケットがフラグメント 化 されている 場 合 は 最 初 のフラグメントが 4 番 めの ACE( 拒 否 )と 一 致 します 4 番 めの ACE はレイヤ 4 情 報 をチェックせず 全 フラグメント 内 のレ イヤ 3 情 報 は 全 フラグメントがホスト 10.1.1.3 に 送 信 されることを 示 しており 前 の 許 可 ACE は 別 のホストをチェックしていたため 他 のフラグメントもすべて 4 番 めの ACE と 一 致 します 38-6

第 38 章 IPv4 ACL の 設 定 IPv4 ACL の 設 定 このスイッチで IP v4acl を 設 定 する 方 法 は 他 の Cisco スイッチおよびルータで IPv4 ACL を 設 定 す る 方 法 と 同 じです 次 に このプロセスについて 簡 単 に 説 明 します ACL の 設 定 の 詳 細 については Cisco IOS IP Configuration Guide, Release 12.2 にある IP Addressing and Services の Configuring IP Services を 参 照 してください コマンドの 詳 細 については Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services, Release 12.2 を 参 照 してください Cisco IOS の マニュアルは Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Configuration Guides] または [Command References] から 入 手 できます このスイッチでは 次 の Cisco IOS ルータ ACL 関 連 機 能 はサポートされていません 非 IP プロトコル ACL( 表 38-1(P.38-8)を 参 照 )またはブリッジグループ ACL IP アカウンティング 着 信 および 発 信 レート 制 限 (QoS ACL を 使 用 した 場 合 を 除 く) 再 帰 ACL またはダイナミック ACL(スイッチ クラスタリング 機 能 で 使 用 される 一 部 の 特 殊 な ダイナミック ACL を 除 く) ポート ACL および VLAN マップに 関 する ACL ロギング 次 に このスイッチで IP ACL を 使 用 するための 手 順 を 示 します ステップ 1 ステップ 2 アクセス リストの 番 号 または 名 前 およびアクセス 条 件 を 指 定 して ACL を 作 成 します ACL をインターフェイスまたは 端 末 回 線 に 適 用 します また 標 準 および 拡 張 IP ACL を VLAN マッ プに 適 用 することもできます ここでは 次 の 設 定 情 報 について 説 明 します 標 準 および 拡 張 IPv4 ACL の 作 成 (P.38-7) 端 末 回 線 への IPv4 ACL の 適 用 (P.38-20) インターフェイスへの IPv4 ACL の 適 用 (P.38-20) IP ACL のハードウェアおよびソフトウェアの 処 理 (P.38-22) ACL のトラブルシューティング (P.38-23) IPv4 ACL の 設 定 例 (P.38-24) 標 準 および 拡 張 IPv4 ACL の 作 成 ここでは IP ACL について 説 明 します ACL とは 許 可 条 件 と 拒 否 条 件 を 列 挙 したものです スイッ チは パケットをアクセス リスト 内 の 各 条 件 と 1 つずつ 照 合 してテストします 最 初 の 条 件 一 致 で ス イッチがパケットを 受 け 入 れるか 拒 否 するかが 決 まります 最 初 の 一 致 後 にスイッチはテストを 停 止 す るため 条 件 の 順 序 が 重 要 となります どの 条 件 も 一 致 しない 場 合 スイッチはパケットを 拒 否 します ソフトウェアでは 次 のタイプの ACL または IPv4 対 応 アクセス リストがサポートされています 標 準 IP アクセス リストでは 照 合 処 理 に 送 信 元 アドレスが 使 用 されます 拡 張 IP アクセス リストでは 照 合 処 理 に 送 信 元 アドレスと 宛 先 アドレスが 使 用 され さらに 細 か い 制 御 を 行 う 場 合 は 任 意 でプロトコル タイプ 情 報 も 使 用 されます ここでは アクセス リストとその 作 成 手 順 について 説 明 します アクセス リスト 番 号 (P.38-8) 38-7

IPv4 ACL の 設 定 第 38 章 ACL ロギング (P.38-9) 番 号 付 き 標 準 ACL の 作 成 (P.38-9) 番 号 付 き 拡 張 ACL の 作 成 (P.38-10) ACL 内 の ACE の 順 序 変 更 (P.38-15) 名 前 付 き 標 準 および 拡 張 ACL の 作 成 (P.38-15) ACL での 時 間 範 囲 の 使 用 (P.38-17) ACL でのコメント 付 け (P.38-19) アクセス リスト 番 号 ACL を 表 すために 使 用 する 番 号 は 作 成 するアクセス リストのタイプを 示 します 表 38-1 に アク セス リスト 番 号 とそれに 対 応 するアクセス リスト タイプを 示 し それらがスイッチでサポートされて いるかどうかを 示 します このスイッチでは IPv4 の 標 準 および 拡 張 アクセス リスト 番 号 1 ~ 199 および 1300 ~ 2699 がサポートされています 表 38-1 アクセス リスト 番 号 アクセス リスト 番 号 タイプ サポート 1 ~ 99 IP 標 準 アクセス リスト あり 100 ~ 199 IP 拡 張 アクセス リスト あり 200 ~ 299 プロトコル タイプコード アクセス リスト なし 300 ~ 399 DECnet アクセス リスト なし 400 ~ 499 XNS 標 準 アクセス リスト なし 500 ~ 599 XNS 拡 張 アクセス リスト なし 600 ~ 699 AppleTalk アクセス リスト なし 700 ~ 799 48 ビット MAC アドレス アクセス リスト なし 800 ~ 899 IPX 標 準 アクセス リスト なし 900 ~ 999 IPX 拡 張 アクセス リスト なし 1000 ~ 1099 IPX SAP アクセス リスト なし 1100 ~ 1199 拡 張 48 ビット MAC アドレス アクセス リスト なし 1200 ~ 1299 IPX サマリー アドレス アクセス リスト なし 1300 ~ 1999 IP 標 準 アクセス リスト( 拡 張 範 囲 ) あり 2000 ~ 2699 IP 拡 張 アクセス リスト( 拡 張 範 囲 ) あり ( 注 ) 番 号 付 きの 標 準 および 拡 張 ACL に 加 えて サポート 対 象 の 番 号 を 使 用 して 名 前 付 きの 標 準 および 拡 張 IP ACL を 作 成 することもできます つまり 標 準 IP ACL の 名 前 には 1 ~ 99 拡 張 IP ACL の 名 前 に は 100 ~ 199 を 使 用 できます 番 号 付 きリストではなく 名 前 付 き ACL を 使 用 することの 利 点 は 名 前 付 きリストから 個 別 のエントリを 削 除 できることです 38-8

第 38 章 IPv4 ACL の 設 定 ACL ロギング スイッチ ソフトウェアでは 標 準 の IP アクセス リストによって 許 可 または 拒 否 されたパケットに 関 す るロギング メッセージを 提 供 できます つまり パケットが ACL と 一 致 すると そのパケットの 詳 細 を 示 すロギング メッセージがコンソールに 送 信 されます コンソールに 記 録 されるメッセージのレベ ルは syslog メッセージを 制 御 する logging console コマンドで 制 御 します ( 注 ) ルーティングはハードウェアで 行 われ ロギングはソフトウェアで 行 われるため 多 数 のパケットが log キーワードを 含 む 許 可 または 拒 否 ACE と 一 致 する 場 合 は ソフトウェアがハードウェアの 処 理 速 度 に 対 応 できず 一 部 のパケットが 記 録 されない 可 能 性 があります ACL をトリガーする 最 初 のパケットによって ロギング メッセージが 直 ちに 表 示 され 後 続 のパケッ トは 5 分 間 隔 で 収 集 されたあと 表 示 または 記 録 されます ロギング メッセージには アクセス リス ト 番 号 パケットが 許 可 されたか 拒 否 されたか パケットの 送 信 元 IP アドレス 直 前 の 5 分 間 隔 でこ の 送 信 元 から 許 可 または 拒 否 されたパケットの 数 が 含 まれます 番 号 付 き 標 準 ACL の 作 成 番 号 付 き 標 準 ACL を 作 成 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 access-list access-list-number {deny permit} source [source-wildcard] [log] 送 信 元 アドレスとワイルドカードを 使 用 して 標 準 IPv4 アクセ ス リストを 定 義 します access-list-number 値 は 1 ~ 99 または 1300 ~ 1999 の 範 囲 の 10 進 数 値 です deny または permit を 入 力 して 条 件 が 一 致 した 場 合 にアクセス を 拒 否 するのか 許 可 するのかを 指 定 します source 値 は パケットの 送 信 元 となるネットワークまたはホスト のアドレスであり 次 の 形 式 で 指 定 されます ドット 付 き 10 進 表 記 による 32 ビット 長 の 値 source および source-wildcard 値 0.0.0.0 255.255.255.255 の 略 を 意 味 するキーワード any source-wildcard を 入 力 する 必 要 はありません source および source-wildcard 値 source 0.0.0.0 の 略 を 意 味 す るキーワード host ( 任 意 )source-wildcard を 使 用 して ワイルドカード ビットを 送 信 元 に 適 用 します ( 任 意 )log を 入 力 すると エントリと 一 致 するパケットの 詳 細 を 示 すロギング メッセージがコンソールに 送 信 されます ステップ 3 end 特 権 EXEC モードに 戻 ります ステップ 4 show access-lists [number name] アクセス リスト コンフィギュレーションを 表 示 します ステップ 5 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 38-9

IPv4 ACL の 設 定 第 38 章 ACL 全 体 を 削 除 するには no access-list access-list-number グローバル コンフィギュレーション コマ ンドを 使 用 します 番 号 付 きアクセス リストから 個 別 の ACE は 削 除 できません ( 注 ) ACL を 作 成 する 場 合 は ACL の 最 後 尾 に 達 する 前 に 一 致 が 見 つからないときに すべてのパケットに 適 用 される 暗 黙 の 拒 否 暗 黙 の 拒 否 文 が デフォルトで ACL の 最 後 尾 に 含 まれることに 注 意 してくださ い 標 準 アクセス リストで 関 連 IP ホスト アドレス ACL の 指 定 からマスクを 省 略 した 場 合 は 0.0.0.0 がマスクと 見 なされます 次 に IP ホスト 171.69.198.102 へのアクセスを 拒 否 し それ 以 外 へのアクセスを 許 可 し 結 果 を 表 示 する 標 準 ACL を 作 成 する 例 を 示 します Switch (config)# access-list 2 deny host 171.69.198.102 Switch (config)# access-list 2 permit any Switch(config)# end Switch# show access-lists Standard IP access list 2 10 deny 171.69.198.102 20 permit any スイッチは 常 に 標 準 アクセス リストの 順 序 を 上 書 きします これにより host が 一 致 するエントリ および don't care マスクが 0.0.0.0 に 一 致 するエントリがリストの 先 頭 に 移 動 され don't care マスクが 0 以 外 のどのエントリよりも 上 になります このため show コマンド 出 力 とコンフィギュレーション ファイルでは ACE は 必 ずしも 入 力 順 どおりには 表 示 されません 作 成 した 番 号 付 き 標 準 IPv4 ACL は 端 末 回 線 ( 端 末 回 線 への IPv4 ACL の 適 用 (P.38-20)を 参 照 ) インターフェイス( インターフェイスへの IPv4 ACL の 適 用 (P.38-20)を 参 照 ) または VLAN( VLAN マップの 設 定 (P.38-31)を 参 照 )に 適 用 できます 番 号 付 き 拡 張 ACL の 作 成 標 準 ACL では 送 信 元 アドレスだけを 照 合 に 使 用 しますが 照 合 処 理 に 拡 張 ACL の 送 信 元 アドレスと 宛 先 アドレスを 使 用 でき さらに 細 かい 制 御 を 行 う 場 合 は 任 意 でプロトコル タイプ 情 報 も 使 用 できま す 番 号 付 き 拡 張 アクセス リストで ACE を 作 成 する 場 合 は ACL の 作 成 後 の 追 加 はすべてリストの 末 尾 に 置 かれることに 注 意 してください リストの 順 序 の 変 更 や 番 号 付 きリストでの ACE の 選 択 的 な 追 加 または 削 除 を 行 うことはできません プロトコルの 中 には 特 定 のパラメータやキーワードをそのプロトコルに 適 用 するものもあります 次 の IP プロトコルがサポートされています(カッコ 内 の 太 字 がプロトコル キーワードです) 認 証 ヘッダー プロトコル(ahp) Enhanced Interior Gateway Routing Protocol(eigrp) カプセル 化 セキュリティ ペイロード(esp) 総 称 ルーティング カプセル 化 (gre) インターネット 制 御 メッセー ジ プロトコル(icmp) インターネット グループ 管 理 プロトコル(igmp) 任 意 の 内 部 プロトコル (ip) IP in IP トンネリング(ipinip) KA9Q NOS 互 換 IP over IP トンネリング(nos) Open Shortest Path First ルーティング(ospf) ペイロード 圧 縮 プロトコル(pcp) Protocol Independent Multicast(pim) 伝 送 制 御 プロトコル(tcp) ユーザ データグラム プロトコル(udp) ( 注 ) ICMP エコー 応 答 はフィルタリングできません 他 のすべての ICMP コードまたはタイプはす べてフィルタリングできます 各 プロトコルの 特 定 のキーワードの 詳 細 については 次 のコマンド リファレンスを 参 照 してください Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services, Release 12.2 Cisco IOS IP Command Reference, Volume 2 of 3: Routing Protocols, Release 12.2 38-10

第 38 章 IPv4 ACL の 設 定 Cisco IOS IP Command Reference, Volume 3 of 3: Multicast, Release 12.2 これらのマニュアルは Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References] から 入 手 できます ( 注 ) このスイッチでは ダイナミックまたは 再 帰 アクセス リストはサポートされていません また Type of Service(ToS; サービス タイプ)の minimize-monetary-cost ビットに 基 づいたフィルタリングもサ ポートされていません サポート 対 象 パラメータは TCP UDP ICMP IGMP その 他 の IP の 各 カテゴリに 分 類 できます 38-11

IPv4 ACL の 設 定 第 38 章 拡 張 ACL を 作 成 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2a access-list access-list-number 拡 張 IPv4 アクセス リストおよびアクセス 条 件 を 定 義 します {deny permit} protocol access-list-number 値 は 100 ~ 199 または 2000 ~ 2699 の 範 囲 の 10 進 数 値 source source-wildcard です destination destination-wildcard [precedence precedence] [tos tos] [fragments] [log] [log-input] deny または permit を 入 力 して 条 件 が 一 致 した 場 合 にパケットを 拒 否 するの か 許 可 するのかを 指 定 します [time-range time-range-name] [dscp dscp] ( 注 ) dscp 値 を 入 力 した 場 合 は tos と precedence は 入 力 できません dscp が ない 場 合 は tos と precedence の 両 方 の 値 を 入 力 できます protocol には IP プロトコルの 名 前 (ahp eigrp esp gre icmp igmp igrp ip ipinip nos ospf pcp pim tcp または udp) または 番 号 (IP プロトコル 番 号 を 示 す 0 ~ 255 の 範 囲 の 整 数 )を 入 力 します 任 意 のイン ターネット プロトコル(ICMP TCP および UDP を 含 む)を 照 合 するには キーワード ip を 使 用 します ( 注 ) この 手 順 には ほとんどの IP プロトコルのオプションが 含 まれていま す TCP UDP ICMP および IGMP の 具 体 的 なパラメータについ ては ステップ 2b ~ 2e を 参 照 してください source 値 は パケットの 送 信 元 となるネットワークまたはホストの 番 号 です source-wildcard を 使 用 して ワイルドカード ビットを 送 信 元 に 適 用 します destination 値 は パケットの 送 信 先 となるネットワークまたはホストの 番 号 です destination-wildcard を 使 用 して ワイルドカード ビットを 宛 先 に 適 用 します source source-wildcard destination および destination-wildcard は 次 の 形 式 で 指 定 できます ドット 付 き 10 進 表 記 による 32 ビット 長 の 値 0.0.0.0 255.255.255.255( 任 意 のホスト)を 表 すキーワード any シングル ホスト 0.0.0.0 を 表 すキーワード host その 他 のキーワードは 任 意 です 各 キーワードの 意 味 は 次 のとおりです precedence:0 ~ 7 の 数 値 または 名 前 で 指 定 された 優 先 レベルを 使 用 して パケットを 照 合 します 指 定 可 能 な 値 は routine(0) priority(1) immediate(2) flash(3) flash-override(4) critical(5) internet (6) network(7)です fragments: 非 初 期 フラグメントを 確 認 します tos:0 ~ 15 の 数 値 または 名 前 で 指 定 されたサービス タイプ レベルを 使 用 して 照 合 する 場 合 に 入 力 します 指 定 可 能 な 値 は normal(0) max-reliability(2) max-throughput(4) min-delay(8)です log:エントリと 一 致 するパケットの 詳 細 を 示 すロギング メッセージを 作 成 してコンソールに 送 信 します または log-input を 入 力 して ログ エ ントリに 入 力 インターフェイスを 含 めます time-range:このキーワードの 詳 細 については ACL での 時 間 範 囲 の 使 用 (P.38-17)を 参 照 してください dscp:0 ~ 63 の 数 値 で 指 定 された DSCP 値 を 使 用 してパケットを 照 合 し ます 使 用 可 能 な 値 のリストを 表 示 する 場 合 は 疑 問 符 (?)を 使 用 します 38-12

第 38 章 IPv4 ACL の 設 定 または access-list access-list-number {deny permit} protocol any any [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] または access-list access-list-number {deny permit} protocol host source host destination [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] ステッ プ 2b コマンド access-list access-list-number {deny permit} tcp source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] [flag] 目 的 アクセス リスト コンフィギュレーション モードで source および source wildcard 値 0.0.0.0 255.255.255.255 の 略 と destination および destination wildcard 値 0.0.0.0 255.255.255.255 の 略 を 使 用 して 拡 張 IP アクセス リスト を 定 義 します 送 信 元 と 宛 先 のアドレスおよびワイルドカードの 代 わりに any キーワードを 使 用 できます source および source wildcard 値 source 0.0.0.0 の 略 と destination および destination wildcard 値 destination 0.0.0.0 の 略 を 使 用 して 拡 張 IP アクセス リストを 定 義 します 送 信 元 と 宛 先 のワイルドカードまたはマスクの 代 わりに host キーワードを 使 用 できます ( 任 意 ) 拡 張 TCP アクセス リストおよびアクセス 条 件 を 定 義 します TCP の 場 合 は tcp を 入 力 します パラメータはステップ 2a で 説 明 されているパラメータと 同 じです ただし 次 の 例 外 があります ( 任 意 ) 送 信 元 ポート(source source-wildcard の 後 ろに 置 かれた 場 合 )または 宛 先 ポート(destination destination-wildcard の 後 ろに 置 かれた 場 合 )を 比 較 する 場 合 は operator および port を 入 力 します 使 用 できる 演 算 子 には eq (equal: 一 致 ) gt(greater than:より 大 きい) lt(less than: 未 満 ) neq (not equal: 不 一 致 ) range(inclusive range: 包 含 範 囲 )があります 演 算 子 にはポート 番 号 が 必 要 です(range にはスペースで 区 切 った 2 つのポート 番 号 が 必 要 です) 10 進 数 値 (0 ~ 65535)の port または TCP ポート 名 を 入 力 します TCP ポー ト 名 を 表 示 するには? を 使 用 するか Cisco IOS IP Configuration Guide, Release 12.2 にある IP Addressing and Services の Configuring IP Services を 参 照 してください TCP をフィルタリングする 場 合 は TCP ポー ト 番 号 またはポート 名 だけを 使 用 します その 他 の 任 意 のキーワードの 意 味 は 次 のとおりです established: 確 立 された 接 続 を 照 合 します これには ack または rst フ ラグの 照 合 と 同 じ 機 能 があります ステッ プ 2c access-list access-list-number {deny permit} udp source source-wildcard [operator port] destination destination-wildcard [operator port] [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] flag: 指 定 された TCP ヘッダー ビットによって 照 合 する 場 合 は 次 のい ずれかのフラグを 入 力 します ack(acknowledge: 確 認 応 答 ) fin (finish: 終 了 ) psh(push:プッシュ) rst(reset:リセット) syn (synchronize: 同 期 ) urg(urgent: 緊 急 ) ( 任 意 ) 拡 張 UDP アクセス リストおよびアクセス 条 件 を 定 義 します UDP の 場 合 は udp を 入 力 します UDP パラメータは TCP に 関 して 説 明 されているパラメータと 同 じですが [operator [port]] のポート 番 号 またはポート 名 は UDP ポートの 番 号 または 名 前 でなければなりません また UDP の 場 合 flag および established パラ メータは 無 効 です 38-13

IPv4 ACL の 設 定 第 38 章 ステッ プ 2d コマンド access-list access-list-number {deny permit} icmp source source-wildcard destination destination-wildcard [icmp-type [[icmp-type icmp-code] [icmp-message]] [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] 目 的 ( 任 意 ) 拡 張 ICMP アクセス リストおよびアクセス 条 件 を 定 義 します ICMP の 場 合 は icmp を 入 力 します ICMP パラメータはステップ 2a の IP プロトコルに 関 して 説 明 されているパラ メータとほとんど 同 じですが ICMP メッセージ タイプおよびコード パラ メータが 追 加 されています 任 意 のキーワードの 意 味 は 次 のとおりです icmp-type:icmp メッセージ タイプを 基 準 にしてフィルタリングします 0 ~ 255 の 値 を 使 用 できます icmp-code:icmp メッセージ コード タイプを 基 準 にしてフィルタリング します 0 ~ 255 の 値 を 使 用 できます ステッ プ 2e access-list access-list-number {deny permit} igmp source source-wildcard destination destination-wildcard [igmp-type] [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] icmp-message:icmp メッセージ タイプ 名 または ICMP メッセージの タイプおよびコード 名 を 基 準 にして ICMP パケットをフィルタリングし ます ICMP メッセージのタイプ 名 およびコード 名 のリストについては? を 使 用 するか Cisco IOS IP Configuration Guide, Release 12.2 にあ る Configuring IP Services を 参 照 してください ( 任 意 ) 拡 張 IGMP アクセス リストおよびアクセス 条 件 を 定 義 します IGMP の 場 合 は igmp を 入 力 します ステップ 3 end 特 権 EXEC モードに 戻 ります IGMP パラメータはステップ 2a の IP プロトコルに 関 して 説 明 されているパラ メータとほとんど 同 じですが 次 に 示 す 任 意 のパラメータが 追 加 されています igmp-type:igmp メッセージ タイプを 照 合 するには 0 ~ 15 の 数 値 または メッセージ 名 (dvmrp host-query host-report pim または trace)を 入 力 します ステップ 4 show access-lists [number name] アクセス リスト コンフィギュレーションを 確 認 します ステップ 5 copy running-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します startup-config アクセス リスト 全 体 を 削 除 するには no access-list access-list-number グローバル コンフィギュレー ション コマンドを 使 用 します 番 号 付 きアクセス リストから 個 別 の ACE は 削 除 できません 次 に 拡 張 アクセス リストを 作 成 および 表 示 して ネットワーク 171.69.198.0 内 の 任 意 のホストから ネットワーク 172.20.52.0 内 の 任 意 のホストへの Telnet アクセスを 拒 否 し それ 以 外 はすべて 許 可 する 例 を 示 します( 宛 先 アドレスのあとの eq キーワードは TCP 宛 先 ポート 番 号 が Telnet と 一 致 している かどうかをテストすることを 意 味 します) Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet Switch(config)# access-list 102 permit tcp any any Switch(config)# end Switch# show access-lists Extended IP access list 102 10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet 20 permit tcp any any 38-14

第 38 章 IPv4 ACL の 設 定 ACL の 作 成 後 の 追 加 ( 端 末 から 入 力 される 可 能 性 がある)は すべてリストの 末 尾 に 置 かれます 番 号 付 きアクセス リストでアクセス リスト エントリを 選 択 的 に 追 加 または 削 除 できません ( 注 ) ACL を 作 成 する 場 合 は アクセス リストの 最 後 尾 に 達 する 前 に 一 致 が 見 つからないときに すべての パケットに 適 用 される 暗 黙 の 拒 否 文 が デフォルトでアクセス リストの 最 後 尾 に 含 まれることに 注 意 してください 作 成 した 番 号 付 き 拡 張 ACL は 端 末 回 線 ( 端 末 回 線 への IPv4 ACL の 適 用 (P.38-20)を 参 照 ) イ ンターフェイス( インターフェイスへの IPv4 ACL の 適 用 (P.38-20)を 参 照 ) または VLAN ( VLAN マップの 設 定 (P.38-31)を 参 照 )に 適 用 できます ACL 内 の ACE の 順 序 変 更 アクセス リスト 内 のエントリのシーケンス 番 号 は 新 しい ACL の 作 成 時 に 自 動 的 に 生 成 されます ip access-list resequence グローバル コンフィギュレーション コマンドを 使 用 すると ACL 内 のシーケ ンス 番 号 を 編 集 して ACE の 適 用 順 序 を 変 更 することができます たとえば 新 しい ACE を ACL に 追 加 すると その ACE はリストの 末 尾 に 置 かれます シーケンス 番 号 を 変 更 すると この ACE を ACL 内 の 別 の 位 置 に 移 動 できます ip access-list resequence コマンドの 詳 細 については 次 の URL を 参 照 してください http://preview.cisco.com/en/us/products/sw/iosswrel/ps1838/products_feature_guide09186a0080134a 60.html 名 前 付 き 標 準 および 拡 張 ACL の 作 成 IPv4 ACL を 番 号 ではなく 英 数 字 のストリング( 名 前 )で 識 別 することができます 名 前 付 き ACL を 使 用 して 番 号 付 きアクセス リストを 使 用 した 場 合 よりも 多 くの IPv4 アクセス リストをルータに 設 定 できます 番 号 ではなく 名 前 でアクセス リストを 識 別 する 場 合 は モードとコマンド 構 文 が 若 干 異 な ります ただし IP アクセス リストを 使 用 するすべてのコマンドが 名 前 付 きアクセス リストを 受 け 入 れるとは 限 りません ( 注 ) 標 準 または 拡 張 ACL に 付 ける 名 前 は サポート 対 象 のアクセス リスト 番 号 範 囲 の 数 値 でも 構 いませ ん つまり 標 準 IP ACL の 名 前 には 1 ~ 99 拡 張 IP ACL の 名 前 には 100 ~ 199 を 使 用 できます 番 号 付 きリストではなく 名 前 付 き ACL を 使 用 することの 利 点 は 名 前 付 きリストから 個 別 のエントリ を 削 除 できることです 名 前 付 き ACL を 設 定 する 場 合 は 次 の 注 意 事 項 および 制 限 事 項 を 考 慮 してください 番 号 付 き ACL を 受 け 入 れるすべてのコマンドが 名 前 付 き ACL を 受 け 入 れるとは 限 りません インターフェイス 上 のパケット フィルタとルート フィルタに 関 する ACL には 名 前 を 使 用 できま す VLAN マップも 名 前 を 受 け 入 れます 標 準 ACL と 拡 張 ACL は 同 じ 名 前 にできません 番 号 付 き ACL も 使 用 可 能 です( 標 準 および 拡 張 IPv4 ACL の 作 成 (P.38-7)を 参 照 ) VLAN マップでは 標 準 および 拡 張 ACL( 名 前 付 きまたは 番 号 付 き)を 使 用 できます 38-15

IPv4 ACL の 設 定 第 38 章 名 前 を 使 用 して 標 準 ACL を 作 成 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 ip access-list standard name 名 前 を 使 用 して 標 準 IPv4 アクセス リストを 定 義 し アクセスリ スト コンフィギュレーション モードを 開 始 します 名 前 には 1 ~ 99 の 範 囲 の 数 値 を 使 用 できます ステップ 3 deny {source [source-wildcard] host source any} [log] または permit {source [source-wildcard] host source any} [log] アクセスリスト コンフィギュレーション モードで パケットを 転 送 するか 廃 棄 するかを 決 定 する 拒 否 条 件 または 許 可 条 件 を 1 つま たは 複 数 指 定 します host source:source および source wildcard 値 source 0.0.0.0 any:source および source wildcard 値 0.0.0.0 255.255.255.255 ステップ 4 end 特 権 EXEC モードに 戻 ります ステップ 5 show access-lists [number name] アクセス リスト コンフィギュレーションを 表 示 します ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 名 前 付 き 標 準 ACL を 削 除 するには no ip access-list standard name グローバル コンフィギュレー ション コマンドを 使 用 します 名 前 を 使 用 して 拡 張 ACL を 作 成 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 ip access-list extended name 名 前 を 使 用 して 拡 張 IPv4 アクセス リストを 定 義 し アクセスリ スト コンフィギュレーション モードを 開 始 します 名 前 には 100 ~ 199 の 範 囲 の 数 値 を 使 用 できます ステップ 3 {deny permit} protocol {source [source-wildcard] host source any} {destination [destination-wildcard] host destination any} [precedence precedence] [tos tos] [established] [log] [time-range time-range-name] アクセスリスト コンフィギュレーション モードで 許 可 条 件 ま たは 拒 否 条 件 を 指 定 します 違 反 を 含 むアクセス リスト ロギン グ メッセージを 取 得 するには log キーワードを 使 用 します プロトコルおよびその 他 のキーワードの 定 義 については 番 号 付 き 拡 張 ACL の 作 成 (P.38-10)を 参 照 してください host source:source および source wildcard 値 source 0.0.0.0 host destination:destination および destination wildcard 値 destination 0.0.0.0 any:source および source wildcard または destination およ び destination wildcard 値 0.0.0.0 255.255.255.255 ステップ 4 end 特 権 EXEC モードに 戻 ります ステップ 5 show access-lists [number name] アクセス リスト コンフィギュレーションを 表 示 します ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 名 前 付 き 拡 張 ACL を 削 除 するには no ip access-list extended name グローバル コンフィギュレー ション コマンドを 使 用 します 38-16

第 38 章 IPv4 ACL の 設 定 標 準 および 拡 張 ACL を 作 成 する 場 合 は ACL の 最 後 尾 に 達 する 前 に 一 致 が 見 つからないときに すべ てのパケットに 適 用 される 暗 黙 の 拒 否 文 が デフォルトで ACL の 最 後 尾 に 含 まれることに 注 意 してく ださい 標 準 ACL で 関 連 IP ホスト アドレス アクセス リストの 指 定 からマスクを 省 略 した 場 合 は 0.0.0.0 がマスクと 見 なされます ACL の 作 成 後 の 追 加 は すべてリストの 末 尾 に 置 かれます 特 定 の ACL に ACL エントリを 選 択 的 に 追 加 できません ただし no permit および no deny アクセスリスト コンフィギュレーション モード コマンドを 使 用 すると 名 前 付 き ACL からエントリを 削 除 できます 次 に 名 前 付 きアクセス リスト border-list から 個 別 の ACE を 削 除 する 例 を 示 します Switch(config)# ip access-list extended border-list Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any 番 号 付 き ACL ではなく 名 前 付 き ACL を 使 用 する 理 由 の 1 つは 名 前 付 き ACL から 行 を 選 択 的 に 削 除 できることです 作 成 した 名 前 付 き ACL は インターフェイス( インターフェイスへの IPv4 ACL の 適 用 (P.38-20) を 参 照 ) または VLAN( VLAN マップの 設 定 (P.38-31)を 参 照 )に 適 用 できます ACL での 時 間 範 囲 の 使 用 time-range グローバル コンフィギュレーション コマンドを 使 用 すると 時 刻 や 週 に 基 づいて 拡 張 ACL を 選 択 的 に 適 用 できます まず 時 間 範 囲 名 を 定 義 し その 時 間 範 囲 内 の 日 時 や 曜 日 を 設 定 しま す 次 に ACL を 適 用 してアクセス リストへの 制 限 を 設 定 する 際 に 定 義 した 時 間 範 囲 名 を 入 力 しま す 時 間 範 囲 を 使 用 すると ACL 内 の permit または deny ステートメントが 有 効 な 時 期 ( 指 定 された 時 間 帯 や 指 定 された 曜 日 など)を 定 義 できます time-range キーワードおよび 引 数 については 前 述 の 標 準 および 拡 張 IPv4 ACL の 作 成 (P.38-7)および 名 前 付 き 標 準 および 拡 張 ACL の 作 成 (P.38-15)の 名 前 付 き 拡 張 ACL および 番 号 付 き 拡 張 ACL の 作 業 表 を 参 照 してください 時 間 範 囲 を 使 用 すると 次 のような 利 点 があります (IP アドレス / マスクのペアとポート 番 号 で 識 別 される)アプリケーションなどのリソースへの ユーザ アクセスの 許 可 または 拒 否 をより 細 かく 制 御 できます ロギング メッセージを 制 御 できます 特 定 の 時 刻 のトラフィックだけを 記 録 するように ACL エン トリを 設 定 できます このため ピーク 時 に 生 成 される 多 数 のログを 分 析 しなくても 単 にアクセ スを 拒 否 することができます 時 間 ベースのアクセス リストは CPU のアクティビティをトリガーします これは このアクセス リス トの 新 しい 設 定 を 他 の 機 能 や TCAM にロードされた 結 合 済 みの 設 定 と 統 合 する 必 要 があるためです このため 複 数 のアクセス リストを 短 時 間 に 連 続 で( 互 いに 数 分 以 内 で) 有 効 化 する 設 定 は 行 わない よう 注 意 してください ( 注 ) 時 間 範 囲 はスイッチのシステム クロックに 依 存 するため 信 頼 できるクロック ソースが 必 要 です ス イッチ クロックの 同 期 には Network Time Protocol(NTP; ネットワーク タイム プロトコル)を 使 用 することを 推 奨 します 詳 細 については システム 日 時 の 管 理 (P.7-1)を 参 照 してください 38-17

IPv4 ACL の 設 定 第 38 章 ACL の 時 間 範 囲 パラメータを 設 定 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 time-range time-range-name 作 成 する 時 間 範 囲 にわかりやすい 名 前 (たとえば workhours)を 割 り 当 てて time-range コンフィギュレーション モードを 開 始 します 名 前 に はスペースまたは 引 用 符 を 含 めることはできません また 名 前 の 先 頭 は 文 字 にする 必 要 があります ステップ 3 absolute [start time date] [end time date] 適 用 対 象 の 機 能 の 動 作 可 能 時 期 を 指 定 します または periodic day-of-the-week hh:mm to [day-of-the-week] hh:mm または periodic {weekdays weekend daily} hh:mm to hh:mm ステップ 4 end 特 権 EXEC モードに 戻 ります ステップ 5 show time-range 時 間 範 囲 の 設 定 を 確 認 します 時 間 範 囲 で 使 用 できる absolute ステートメントは 1 つだけです absolute ステートメントを 複 数 設 定 した 場 合 は 最 後 に 設 定 したス テートメントだけが 実 行 されます periodic ステートメントは 複 数 入 力 できます たとえば 平 日 と 週 末 に 異 なる 時 間 を 設 定 することができます 設 定 例 を 参 照 してください ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 異 なる 時 間 に 有 効 化 する 項 目 が 複 数 ある 場 合 は これらの 手 順 を 繰 り 返 します 設 定 された 時 間 範 囲 の 制 限 を 削 除 するには no time-range time-range-name グローバル コンフィギュ レーション コマンドを 使 用 します 次 に workhours の 時 間 範 囲 を 設 定 し 会 社 の 休 日 を 2006 年 1 月 1 日 に 設 定 して 設 定 内 容 を 確 認 す る 例 を 示 します Switch(config)# time-range workhours Switch(config-time-range)# periodic weekdays 8:00 to 12:00 Switch(config-time-range)# periodic weekdays 13:00 to 17:00 Switch(config-time-range)# exit Switch(config)# time-range new_year_day_2006 Switch(config-time-range)# absolute start 00:00 1 Jan 2006 end 23:59 1 Jan 2006 Switch(config-time-range)# end Switch# show time-range time-range entry: new_year_day_2003 (inactive) absolute start 00:00 01 January 2006 end 23:59 01 January 2006 time-range entry: workhours (inactive) periodic weekdays 8:00 to 12:00 periodic weekdays 13:00 to 17:00 時 間 範 囲 を 適 用 するには 時 間 範 囲 を 実 装 できる 拡 張 ACL に 時 間 範 囲 名 を 入 力 します 次 に 定 義 さ れた 休 日 の 時 間 中 は 任 意 の 送 信 元 から 任 意 の 宛 先 への TCP トラフィックを 拒 否 し 業 務 時 間 中 はすべ ての TCP トラフィックを 許 可 する 拡 張 アクセス リスト 188 を 作 成 および 確 認 する 例 を 示 します Switch(config)# access-list 188 deny tcp any any time-range new_year_day_2006 Switch(config)# access-list 188 permit tcp any any time-range workhours Switch(config)# end Switch# show access-lists Extended IP access list 188 10 deny tcp any any time-range new_year_day_2006 (inactive) 20 permit tcp any any time-range workhours (inactive) 38-18

第 38 章 IPv4 ACL の 設 定 次 に 名 前 付 き ACL を 使 用 して 同 じトラフィックを 許 可 および 拒 否 する 例 を 示 します Switch(config)# ip access-list extended deny_access Switch(config-ext-nacl)# deny tcp any any time-range new_year_day_2006 Switch(config-ext-nacl)# exit Switch(config)# ip access-list extended may_access Switch(config-ext-nacl)# permit tcp any any time-range workhours Switch(config-ext-nacl)# end Switch# show ip access-lists Extended IP access list lpip_default 10 permit ip any any Extended IP access list deny_access 10 deny tcp any any time-range new_year_day_2006 (inactive) Extended IP access list may_access 10 permit tcp any any time-range workhours (inactive) ACL でのコメント 付 け remark キーワードを 使 用 すると 任 意 の IP 標 準 ACL または IP 拡 張 ACL 内 のエントリに 関 するコメ ント( 備 考 )を 付 けることができます remark を 使 用 すると ACL がわかりやすく またスキャンし やすくなります 各 remark 行 は 100 文 字 以 内 に 制 限 されています remark は permit または deny ステートメントの 前 後 どちらにでも 設 定 できます どの remark ステー トメントがどの permit または deny ステートメントを 説 明 しているかが 明 確 になるように remark の 位 置 は 一 貫 性 を 保 ってください たとえば 関 連 付 けられている permit または deny ステートメントの 前 に 付 く remark と 後 ろに 付 く remark が 混 在 していると わかりにくくなってしまいます IP 番 号 付 き 標 準 ACL または IP 番 号 付 き 拡 張 ACL にコメントを 付 けるには access-list access-list number remark remark グローバル コンフィギュレーション コマンドを 使 用 します remark を 削 除 す るには このコマンドの no 形 式 を 使 用 します 次 の 例 では Jones のワークステーションのアクセスは 許 可 され Smith のワークステーションのアク セスは 許 可 されません Switch(config)# access-list 1 remark Permit only Jones workstation through Switch(config)# access-list 1 permit 171.69.2.88 Switch(config)# access-list 1 remark Do not allow Smith through Switch(config)# access-list 1 deny 171.69.3.13 名 前 付 き IP ACL 内 のエントリには remark アクセスリスト コンフィギュレーション コマンドを 使 用 します remark を 削 除 するには このコマンドの no 形 式 を 使 用 します 次 の 例 では Jones のサブネットによる 発 信 Telnet の 使 用 が 許 可 されません Switch(config)# ip access-list extended telnetting Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out Switch(config-ext-nacl)# deny tcp host 171.69.2.88 any eq telnet 38-19

IPv4 ACL の 設 定 第 38 章 端 末 回 線 への IPv4 ACL の 適 用 番 号 付 き ACL を 使 用 すると 1 つまたは 複 数 の 端 末 回 線 へのアクセスを 制 御 できます 名 前 付 き ACL は 回 線 に 適 用 できません ユーザはどの 仮 想 端 末 回 線 にも 接 続 を 試 行 できるため すべての 仮 想 端 末 回 線 に 同 一 の 制 限 を 設 定 する 必 要 があります ACL をインターフェイスに 適 用 する 手 順 については インターフェイスへの IPv4 ACL の 適 用 (P.38-20)を 参 照 してください ACL を VLAN に 適 用 する 方 法 については VLAN マップの 設 定 (P.38-31)を 参 照 してください 仮 想 端 末 回 線 と ACL 内 のアドレス 間 の 着 信 および 発 信 接 続 を 制 限 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 line [console vty] line-number 設 定 する 特 定 の 回 線 を 指 定 し インライン コンフィギュレーション モード を 開 始 します ステップ 3 access-class access-list-number {in out} ステップ 4 end 特 権 EXEC モードに 戻 ります console:コンソール 端 末 回 線 を 指 定 します コンソール ポートは DCE です vty:リモート コンソール アクセス 用 の 仮 想 端 末 を 指 定 します line-number には 回 線 タイプの 指 定 時 に 設 定 する 連 続 グループ 内 で 最 初 の 回 線 番 号 が 入 ります 指 定 できる 範 囲 は 0 ~ 16 です 特 定 の( 装 置 に 対 する) 仮 想 端 末 回 線 とアクセス リスト 内 のアドレス 間 の 着 信 および 発 信 接 続 を 制 限 します ステップ 5 show running-config アクセス リスト コンフィギュレーションを 表 示 します ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 端 末 回 線 から ACL を 削 除 するには no access-class access-list-number {in out} ライン コンフィギュ レーション コマンドを 使 用 します インターフェイスへの IPv4 ACL の 適 用 次 の 注 意 事 項 を 確 認 してください レイヤ 2 ポートには 着 信 方 向 にだけ ACL を 適 用 してください レイヤ 3 インターフェイスでは 発 信 側 または 着 信 側 のいずれかに ACL を 適 用 してください インターフェイスへのアクセスを 制 御 する 場 合 は 名 前 付 きまたは 番 号 付 き ACL を 使 用 できます ACL を VLAN のメンバーであるポートに 適 用 した 場 合 ポート ACL の 方 が VLAN インターフェ イスに 適 用 された ACL より 優 先 されます VLAN のメンバーになっているレイヤ 2 インターフェイスに ACL を 適 用 すると レイヤ 2(ポー ト)ACL は VLAN インターフェイスに 適 用 された 入 力 レイヤ 3 ACL や VLAN に 適 用 された VLAN マップよりも 優 先 されます ポート ACL は レイヤ 2 ポートで 受 信 した 着 信 パケットを 常 にフィルタリングします 38-20

第 38 章 IPv4 ACL の 設 定 ルーティングがイネーブルでない 状 態 で レイヤ 3 インターフェイスに ACL を 適 用 すると CPU 宛 てのパケット(SNMP Telnet Web トラフィックなど)だけがこの ACL によってフィルタリ ングされます ACL をレイヤ 2 インターフェイスに 適 用 する 場 合 ルーティングをイネーブルに する 必 要 はありません プライベート VLAN が 設 定 されている 場 合 は ルータ ACL はプライマリ VLAN SVI にだけ 適 用 できます ACL はプライマリ VLAN およびセカンダリ VLAN のレイヤ 3 トラフィックに 適 用 さ れます ( 注 ) パケットがアクセス グループによって 拒 否 された 場 合 デフォルトでルータがインターネット 制 御 メッセージ プロトコル(ICMP) 到 達 不 能 メッセージを 送 信 します アクセス グループによって 拒 否 されたパケットはハードウェアで 廃 棄 されるのではなく ICMP 到 達 不 能 メッセージを 生 成 できるよう にスイッチの CPU にブリッジされます インターフェイスへのアクセスを 制 御 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 interface interface-id 設 定 対 象 となる 特 定 のインターフェイスを 指 定 し インターフェイス コン フィギュレーション モードを 開 始 します インターフェイスには レイヤ 2 インターフェイス(ポート ACL)また はレイヤ 3 インターフェイス(ルータ ACL)を 指 定 できます ステップ 3 ip access-group {access-list-number name} {in out} 指 定 のインターフェイス 宛 てのアクセスを 制 御 します ステップ 4 end 特 権 EXEC モードに 戻 ります out キーワードはレイヤ 2 インターフェイス(ポート ACL)ではサポート されません ステップ 5 show running-config アクセス リスト コンフィギュレーションを 表 示 します ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 指 定 のアクセス グループを 削 除 するには no ip access-group {access-list-number name} {in out} インターフェイス コンフィギュレーション コマンドを 使 用 します 次 に ポートにアクセス リスト 2 を 適 用 して このポートに 着 信 するパケットをフィルタリングする 例 を 示 します Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 2 in ( 注 ) ip access-group インターフェイス コンフィギュレーション コマンドをレイヤ 3 インターフェイス (SVI レイヤ 3 EtherChannel またはルーテッド ポート)に 適 用 する 場 合 は インターフェイスが IP アドレスで 設 定 されている 必 要 があります レイヤ 3 アクセス グループは CPU 上 のレイヤ 3 プロセ スによってルーティングまたは 受 信 されるパケットをフィルタリングします VLAN 内 でブリッジさ れるパケットには 影 響 しません 着 信 ACL では スイッチは パケットを 受 信 すると ACL と 照 合 することでそのパケットを 確 認 しま す ACL がパケットを 許 可 する 場 合 スイッチはパケットの 処 理 を 続 行 します ACL がパケットを 拒 否 する 場 合 スイッチはパケットを 廃 棄 します 38-21

IPv4 ACL の 設 定 第 38 章 発 信 ACL では スイッチは パケットを 受 信 してそれを 制 御 されたインターフェイスへ 送 信 したあ と ACL と 照 合 することでそのパケットを 確 認 します ACL がパケットを 許 可 する 場 合 スイッチは パケットを 送 信 します ACL がパケットを 拒 否 する 場 合 スイッチはパケットを 廃 棄 します パケットが 入 力 インターフェイス 上 の ACL によって 廃 棄 されたか 出 力 インターフェイス 上 の ACL に よって 廃 棄 されたかに 関 係 なく パケットが 廃 棄 されるたびに デフォルトで 入 力 インターフェイスが ICMP 到 達 不 能 メッセージを 送 信 します ICMP 到 達 不 能 メッセージは 通 常 入 力 インターフェイスあ たり 1/2 秒 につき 1 つまでに 制 限 されていますが ip icmp rate-limit unreachable グローバル コン フィギュレーション コマンドを 使 用 すると これを 変 更 できます 未 定 義 の ACL をインターフェイスに 適 用 すると スイッチはその ACL がインターフェイスに 適 用 さ れていないかのように 動 作 し すべてのパケットを 許 可 します ネットワーク セキュリティ 用 に 未 定 義 の ACL を 使 用 する 場 合 は この 動 作 に 注 意 してください IP ACL のハードウェアおよびソフトウェアの 処 理 ACL 処 理 は 主 にハードウェアで 行 われますが ソフトウェア 処 理 のために 一 部 のトラフィック フロー を CPU に 転 送 する 必 要 があります ハードウェアが ACL 設 定 の 格 納 容 量 に 達 すると パケットが 転 送 のために CPU に 送 信 されます ソフトウェア 転 送 トラフィックの 転 送 レートは ハードウェア 転 送 トラフィックに 比 べると 大 幅 に 小 さくなります ( 注 ) スイッチがリソース 不 足 状 態 になっているためにハードウェアで ACL 設 定 を 実 装 できない 場 合 は そ のスイッチに 到 着 する 対 象 VLAN 内 のトラフィックだけが 影 響 を 受 けます(ソフトウェアで 転 送 され ます) パケットのソフトウェア 転 送 で 消 費 される CPU サイクル 数 によっては スイッチのパフォー マンスが 低 下 する 可 能 性 があります ルータ ACL の 場 合 は 次 のような 他 の 要 因 によってパケットが CPU に 送 信 される 可 能 性 があります log キーワードの 使 用 ICMP 到 達 不 能 メッセージの 生 成 トラフィック フローの 記 録 と 転 送 の 両 方 が 行 われる 場 合 転 送 はハードウェアによって 行 われますが 記 録 はソフトウェアによって 行 う 必 要 があります ハードウェアとソフトウェアのパケット 処 理 能 力 は 異 なるため 記 録 される 全 フロー( 許 可 フローと 拒 否 フローの 両 方 )の 合 計 の 帯 域 幅 がかなり 大 きい 場 合 は 転 送 されるパケットの 一 部 を 記 録 できない 可 能 性 があります ルータ ACL の 設 定 をハードウェアで 適 用 できない 場 合 ルーティングする 必 要 のある VLAN に 着 信 するパケットはソフトウェアではルーティングされますが ハードウェアではブリッジされます ACL によって 大 量 のパケットが CPU に 送 信 される 場 合 は スイッチ パフォーマンスが 低 下 する 可 能 性 があります show ip access-lists 特 権 EXEC コマンドの 出 力 に 表 示 されるマッチ カウントは ハードウェアでアク セス 制 御 されるパケットに 対 応 しません スイッチド パケットおよびルーテッド パケットの 基 本 的 な ハードウェア ACL 統 計 情 報 を 取 得 するには show access-lists hardware counters 特 権 EXEC コマン ドを 使 用 します 38-22

第 38 章 IPv4 ACL の 設 定 ACL のトラブルシューティング 次 の ACL マネージャ メッセージが 表 示 され [chars] がアクセスリスト 名 の 場 合 ACLMGR-2-NOVMR: Cannot generate hardware representation of access list [chars] スイッチには ACL のハードウェア 表 現 を 作 成 するためのリソースが 不 足 していることになります リ ソースにはハードウェア メモリやラベル スペースが 含 まれますが CPU メモリは 含 まれません この 問 題 は 使 用 可 能 な 論 理 演 算 ユニットまたは 専 用 のハードウェア リソースの 不 足 が 原 因 と 考 えられま す 論 理 演 算 ユニットは TCP フラグの 一 致 または TCP UDP SCTP ポート 番 号 での eq 以 外 (ne gt lt range)のテストで 必 要 です 次 のいずれかの 回 避 策 を 実 行 してください ACL 設 定 を 変 更 して 使 用 するリソースを 減 らします ACL 名 または 番 号 よりも 英 数 字 順 で 先 に 表 示 される 名 前 または 番 号 に ACL の 名 前 を 変 更 します 特 殊 なハードウェア リソースを 判 別 するには show platform layer4 acl map 特 権 EXEC コマンドを を 入 力 します スイッチに 使 用 可 能 なリソースがない 場 合 の 出 力 には インデックス 0 ~ インデック ス 15 が 使 用 可 能 でないことが 示 されます リソースが 不 十 分 な 状 態 での ACL の 設 定 の 詳 細 については Bug Toolkit の CSCsq63926 を 参 照 して ください たとえば 次 の ACL をインターフェイスに 適 用 した 場 合 で permit tcp source source-wildcard destination destination-wildcard range 5 60 permit tcp source source-wildcard destination destination-wildcard range 15 160 permit tcp source source-wildcard destination destination-wildcard range 115 1660 permit tcp source source-wildcard destination destination-wildcard なおかつ 次 のメッセージが 表 示 された 場 合 は ACLMGR-2-NOVMR: Cannot generate hardware representation of access list [chars] フラグ 関 連 の 演 算 子 が 使 用 できないことになります この 問 題 を 回 避 するには 次 のようにします ip access-list resequence グローバル コンフィギュレーション コマンドを 使 用 して 4 番 めの ACE を 最 初 の ACE の 前 に 移 動 します permit tcp source source-wildcard destination destination-wildcard permit tcp source source-wildcard destination destination-wildcard range 5 60 permit tcp source source-wildcard destination destination-wildcard range 15 160 permit tcp source source-wildcard destination destination-wildcard range 115 1660 または 他 の ACL よりも 英 数 字 順 で 先 に 表 示 される 名 前 または 番 号 に ACL の 名 前 を 変 更 します(たとえ ば ACL 79 から ACL 1 に 変 更 します) これで ACL 内 の 最 初 の ACE をインターフェイスに 適 用 できます スイッチはこの ACE を Opselect インデックス 内 の 使 用 可 能 なマッピング ビットに 割 り 当 てたあと フラグ 関 連 の 演 算 子 を 割 り 当 てて Ternary Content Addressable Memory(TCAM; 三 値 連 想 メモリ) 内 の 同 じビットを 使 用 します ルータ ACL は 次 のように 機 能 します ハードウェアは 標 準 および 拡 張 ACL( 入 力 および 出 力 )の 許 可 アクションと 拒 否 アクションを 制 御 して セキュリティ アクセス 制 御 を 実 現 します log が 指 定 されていない 場 合 セキュリティ ACL 内 の deny ステートメントに 一 致 するフローは ハードウェアによって 廃 棄 されます(ip unreachables がディセーブルに 設 定 されている 場 合 ) permit ステートメントと 一 致 するフローは ハードウェアでスイッチングされます 38-23

IPv4 ACL の 設 定 第 38 章 ルータ ACL 内 の ACE に log キーワードを 追 加 すると ロギングだけの 目 的 でパケットのコピーが CPU に 送 信 されます ACE が permit ステートメントの 場 合 でも パケットはハードウェアでス イッチングおよびルーティングされます IPv4 ACL の 設 定 例 ここでは IPv4 ACL の 設 定 例 と 適 用 例 を 示 します ACL のコンパイルの 詳 細 については Cisco IOS Security Configuration Guide, Release 12.2 お よ び Cisco IOS IP Configuration Guide, Release 12.2 にある IP Addressing and Services の Configuring IP Services を 参 照 してください 図 38-3 に サーバ A に 接 続 されたルーテッド ポート 2 と サーバ B に 接 続 されたルーテッド ポート 1 を 使 用 した 小 規 模 なネットワーク オフィス 環 境 を 示 します サーバ A には 全 従 業 員 がアクセスでき る 収 益 などの 情 報 が 格 納 されており サーバ B には 機 密 の 給 与 支 払 いデータが 格 納 されています サーバ A にはユーザ 全 員 がアクセスできますが サーバ B のアクセスは 制 限 されます ルータ ACL を 使 用 してこれを 実 現 するには 次 のいずれかの 方 法 を 用 います 標 準 ACL を 作 成 して ポート 1 からサーバに 着 信 するトラフィックをフィルタリングします 拡 張 ACL を 作 成 して サーバからポート 1 に 着 信 するトラフィックをフィルタリングします 図 38-3 ルータ ACL によるトラフィックの 制 御 A B 2 1 172.20.128.0 31 172.20.128.64 95 101354 次 に 標 準 ACL を 使 用 して ポートからサーバ B に 着 信 するトラフィックをフィルタリングし 経 理 部 の 送 信 元 アドレス 172.20.128.64 ~ 172.20.128.95 からのトラフィックだけを 許 可 する 例 を 示 します こ の ACL は 指 定 された 送 信 元 アドレスのルーテッド ポート 1 からのトラフィックに 適 用 されます Switch(config)# access-list 6 permit 172.20.128.64 0.0.0.31 Switch(config)# end Switch #show access-lists Standard IP access list 6 permit 172.20.128.64, wildcard bits 0.0.0.31 Switch(config)# interface gigabitethernet0/1 Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 6 out 38-24

第 38 章 IPv4 ACL の 設 定 次 に 拡 張 ACL を 使 用 して サーバ B からポートに 着 信 するトラフィックをフィルタリングし 任 意 の 送 信 元 アドレス(この 場 合 はサーバ B)から 経 理 部 の 宛 先 アドレス 172.20.128.64 ~ 172.20.128.95 へのトラフィックだけを 許 可 する 例 を 示 します この ACL はルーテッド ポート 1 へのトラフィックに 適 用 され 指 定 した 宛 先 アドレスに 送 信 されるトラフィックだけを 許 可 します 拡 張 ACL を 使 用 する 場 合 は 送 信 元 および 宛 先 情 報 の 前 にプロトコル(IP)を 入 力 する 必 要 があります Switch(config)# access-list 106 permit ip any 172.20.128.64 0.0.0.31 Switch(config)# end Switch #show access-lists Extended IP access list 106 permit ip any 172.20.128.64 0.0.0.31 Switch(config)# interface gigabitethernet0/1 Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 106 in 番 号 付 き ACL 次 の 例 のネットワーク 36.0.0.0 は 2 番 めのオクテットはサブネットを 指 定 するクラス A ネットワーク です つまり サブネット マスクは 255.255.0.0 です ネットワーク 36.0.0.0 のアドレスの 3 番 めと 4 番 めのオクテットは 特 定 のホストを 指 定 します スイッチは アクセス リスト 2 を 使 用 してサブ ネット 48 上 のアドレスを 1 つ 受 け 入 れ このサブネット 上 の 他 のアドレスはすべて 拒 否 します リス トの 最 後 の 行 は スイッチがネットワーク 36.0.0.0 の 他 のすべてのサブネット 上 のアドレスを 受 け 入 れることを 示 しています この ACL はポートに 着 信 するパケットに 適 用 されます Switch(config)# access-list 2 permit 36.48.0.3 Switch(config)# access-list 2 deny 36.48.0.0 0.0.255.255 Switch(config)# access-list 2 permit 36.0.0.0 0.255.255.255 Switch(config)# interface gigabitethernet0/1 Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 2 in 拡 張 ACL 次 の 例 の 最 初 の 行 は 1023 よりも 大 きい 宛 先 ポートへの 着 信 TCP 接 続 を 許 可 します 2 番 めの 行 は ホスト 128.88.1.2 のシンプル メール 転 送 プロトコル(SMTP)ポートへの 着 信 TCP 接 続 を 許 可 しま す 3 番 めの 行 は エラー フィードバック 用 の 着 信 ICMP メッセージを 許 可 します Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 gt 1023 Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25 Switch(config)# access-list 102 permit icmp any any Switch(config)# interface gigabitethernet0/1 Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 102 in この 例 で ネットワークがインターネットに 接 続 されている 状 態 で ネットワーク 上 の 任 意 のホストが インターネット 上 の 任 意 のホストと TCP 接 続 を 形 成 できるようにするとします ただし IP ホスト は 専 用 メール ホストのメール(SMTP)ポートを 除 き ネットワーク 上 のホストへの TCP 接 続 を 形 成 できないようにします SMTP は 接 続 の 一 端 では TCP ポート 25 を 使 用 し 他 端 ではランダムなポート 番 号 を 使 用 します 接 続 の 間 は 同 じポート 番 号 が 使 用 されます インターネットからの 着 信 メール パケットの 宛 先 ポート は 25 です 発 信 パケットでは ポート 番 号 が 逆 になります ネットワークのセキュア システムはポー ト 25 上 のメール 接 続 を 常 に 受 け 入 れるため 着 信 サービスと 発 信 サービスは 個 別 に 制 御 されます ACL は 発 信 インターフェイス 上 では 入 力 ACL として 設 定 し 着 信 インターフェイス 上 では 出 力 ACL として 設 定 する 必 要 があります 38-25

IPv4 ACL の 設 定 第 38 章 次 の 例 のネットワークはアドレス 128.88.0.0 のクラス B ネットワークであり メール ホスト アドレス は 128.88.1.2 です established キーワードは TCP だけに 使 用 され 確 立 された 接 続 を 示 します TCP データグラムに ACK または RST ビットが 設 定 されている 場 合 照 合 が 行 われ パケットが 既 存 の 接 続 に 属 していることを 示 します ギガビット イーサネット インターフェイス 1 は ルータをインター ネットに 接 続 するインターフェイスです Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25 Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 102 in 名 前 付 き ACL 次 に internet_filter という 名 前 の 標 準 ACL および marketing_group という 名 前 の 拡 張 ACL を 作 成 す る 例 を 示 します internet_filter ACL は 送 信 元 アドレス 1.2.3.4 からのトラフィックをすべて 許 可 し ます Switch(config)# ip access-list standard Internet_filter Switch(config-ext-nacl)# permit 1.2.3.4 Switch(config-ext-nacl)# exit marketing_group ACL は 宛 先 のアドレスおよびワイルドカード 171.69.0.0 0.0.255.255 への 任 意 の TCP Telnet トラフィックを 許 可 し それ 以 外 の TCP トラフィックをすべて 拒 否 します この ACL は ICMP トラフィックを 許 可 し 任 意 の 送 信 元 から 1024 より 小 さい 宛 先 ポートの 171.69.0.0 ~ 179.69.255.255 の 宛 先 アドレス 範 囲 への UDP トラフィックを 拒 否 し それ 以 外 の IP トラフィックを すべて 拒 否 して 結 果 のログを 表 示 します Switch(config)# ip access-list extended marketing_group Switch(config-ext-nacl)# permit tcp any 171.69.0.0 0.0.255.255 eq telnet Switch(config-ext-nacl)# deny tcp any any Switch(config-ext-nacl)# permit icmp any any Switch(config-ext-nacl)# deny udp any 171.69.0.0 0.0.255.255 lt 1024 Switch(config-ext-nacl)# deny ip any any log Switch(config-ext-nacl)# exit Internet_filter ACL は 発 信 トラフィックに 適 用 され marketing_group ACL はレイヤ 3 ポート 上 の 着 信 トラフィックに 適 用 されます Switch(config)# interface gigabitethernet1/1 Switch(config-if)# no switchport Switch(config-if)# ip address 2.0.5.1 255.255.255.0 Switch(config-if)# ip access-group Internet_filter out Switch(config-if)# ip access-group marketing_group in IP ACL に 適 用 される 時 間 範 囲 次 の 例 では 月 曜 日 から 金 曜 日 の 午 前 8 時 ~ 午 後 6 時 (18 時 )の 間 IP 上 の HTTP トラフィックを 拒 否 します この 例 では 土 曜 日 と 日 曜 日 の 正 午 ~ 午 後 8 時 (20 時 )の 間 だけ UDP トラフィックを 許 可 します Switch(config)# time-range no-http Switch(config)# periodic weekdays 8:00 to 18:00! Switch(config)# time-range udp-yes Switch(config)# periodic weekend 12:00 to 20:00! Switch(config)# ip access-list extended strict Switch(config-ext-nacl)# deny tcp any any eq www time-range no-http Switch(config-ext-nacl)# permit udp any any time-range udp-yes! 38-26

第 38 章 IPv4 ACL の 設 定 Switch(config-ext-nacl)# exit Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group strict in コメント 付 き IP ACL エントリ 次 の 例 の 番 号 付 き ACL では Jones のワークステーションのアクセスは 許 可 され Smith のワークス テーションのアクセスは 許 可 されません Switch(config)# access-list 1 remark Permit only Jones workstation through Switch(config)# access-list 1 permit 171.69.2.88 Switch(config)# access-list 1 remark Do not allow Smith workstation through Switch(config)# access-list 1 deny 171.69.3.13 次 の 例 の 番 号 付 き ACL では Winter および Smith のワークステーションでの Web 閲 覧 が 許 可 されま せん Switch(config)# access-list 100 remark Do not allow Winter to browse the web Switch(config)# access-list 100 deny host 171.69.3.85 any eq www Switch(config)# access-list 100 remark Do not allow Smith to browse the web Switch(config)# access-list 100 deny host 171.69.3.13 any eq www 次 の 例 の 名 前 付 き ACL では Jones のサブネットのアクセスが 許 可 されます Switch(config)# ip access-list standard prevention Switch(config-std-nacl)# remark Do not allow Jones subnet through Switch(config-std-nacl)# deny 171.69.0.0 0.0.255.255 次 の 例 の 名 前 付 き ACL では Jones のサブネットによる 発 信 Telnet の 使 用 が 許 可 されません Switch(config)# ip access-list extended telnetting Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out Switch(config-ext-nacl)# deny tcp 171.69.0.0 0.0.255.255 any eq telnet ACL ロギング ルータ ACL では 2 種 類 のロギングがサポートされています log キーワードは エントリと 一 致 する パケットの 詳 細 を 示 すロギング メッセージをコンソールに 送 信 します log-input キーワードは ログ エントリに 入 力 インターフェイスを 含 めます 次 の 例 の 名 前 付 き 標 準 アクセス リスト stan1 は 10.1.1.0 0.0.0.255 からのトラフィックを 拒 否 し そ の 他 のすべての 送 信 元 からのトラフィックは 許 可 し log キーワードを 含 めます Switch(config)# ip access-list standard stan1 Switch(config-std-nacl)# deny 10.1.1.0 0.0.0.255 log Switch(config-std-nacl)# permit any log Switch(config-std-nacl)# exit Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group stan1 in Switch(config-if)# end Switch# show logging Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 37 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging, 37 messages logged File logging: disabled Trap logging: level debugging, 39 message lines logged Log Buffer (4096 bytes): 00:00:48: NTP: authentication delay calculation problems 38-27