ACL によるネットワーク セキュリティの設定

CHAPTER 38 この 章 では Access Control List(ACL; アクセス 制 御 リスト)(アクセス リストとも 呼 ばれる)を 使 用 して IE 3000 スイッチにネットワーク セキュリティを 設 定 する 手 順 について 説 明 します この 章 で 言 及 される IP ACL は IP バージョン 4(IPv4)ACL を 指 しています IPv6 ACL の 詳 細 については 第 44 章 IPv6 ACL の 設 定 を 参 照 してください この 章 で 使 用 しているコマンドの 構 文 および 使 用 方 法 の 詳 細 については このリリースのコマンド リ ファレンス Cisco IOS IP Configuration Guide, Release 12.2 にある IP Addressing and Services の Configuring IP Services および Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services, Release 12.2 を 参 照 してください Cisco IOS のマニュアルは Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Configuration Guides] または [Command References] から 入 手 できます ACL の 概 要 (P.38-1) IPv4 ACL の 設 定 (P.38-7) 名 前 付 き MAC 拡 張 ACL の 作 成 (P.38-28) VLAN マップの 設 定 (P.38-31) VLAN マップとルータ ACL の 併 用 (P.38-38) IPv4 ACL 設 定 の 表 示 (P.38-42) ACL の 概 要 パケット フィルタリングは ネットワーク トラフィックの 制 限 や 特 定 のユーザまたは 装 置 による ネットワーク 利 用 の 制 限 に 役 立 ちます ACL は ルータまたはスイッチを 通 過 するトラフィックを フィルタリングし 指 定 したインターフェイスまたは VLAN を 通 るパケットを 許 可 または 拒 否 します ACL とは パケットに 適 用 される 許 可 条 件 と 拒 否 条 件 を 列 挙 したものです インターフェイス 上 でパ ケットが 受 信 されると スイッチはパケット 内 の 各 フィールドと 適 用 されているすべての ACL を 比 較 し アクセス リストで 指 定 された 基 準 に 基 づいて そのパケットを 転 送 するのに 必 要 な 許 可 があるこ とを 確 認 します スイッチは パケットをアクセス リスト 内 の 各 条 件 と 1 つずつ 照 合 してテストしま す 最 初 の 条 件 一 致 で スイッチがパケットを 受 け 入 れるか 拒 否 するかが 決 まります 最 初 の 条 件 一 致 後 にスイッチはテストを 停 止 するため リスト 内 の 条 件 の 順 序 が 重 要 となります どの 条 件 も 一 致 しな い 場 合 スイッチはパケットを 拒 否 します 制 限 がない 場 合 はスイッチがパケットを 転 送 しますが そ うでない 場 合 はスイッチがパケットを 廃 棄 します スイッチは VLAN 内 でブリッジされるパケット を 含 め 転 送 するすべてのパケットに 対 して ACL を 使 用 できます ルータまたはレイヤ 3 スイッチ 上 でアクセス リストを 設 定 すると ネットワークの 基 本 的 なセキュリ ティが 実 現 されます ACL を 設 定 しないと スイッチを 通 過 するすべてのパケットがネットワークの どの 部 分 に 対 しても 許 可 される 可 能 性 があります ACL を 使 用 すると ネットワークのさまざまな 部 分 にアクセスできるホストを 制 御 したり ルータ インターフェイスで 転 送 またはブロックされるトラ 38-1

ACL の 概 要 第 38 章 フィックのタイプを 決 定 したりすることができます たとえば E メール トラフィックは 転 送 を 許 可 し Telnet トラフィックは 禁 止 するといった 設 定 が 可 能 です ACL の 設 定 により インバウンド トラ フィック アウトバウンド トラフィック またはその 両 方 をブロックできます ACL には Access Control Entry(ACE; アクセス 制 御 エントリ)の 順 序 指 定 リストが 含 まれています 各 ACE には 許 可 または 拒 否 と パケットがその ACE と 一 致 するために 満 たす 必 要 のある 条 件 の セットが 指 定 されます 許 可 または 拒 否 の 意 味 は その ACL が 使 用 されているコンテキストによって 決 まります このスイッチでは IP ACL およびイーサネット(MAC)ACL がサポートされています IP ACL は Transmission Control Protocol(TCP; 伝 送 制 御 プロトコル) User Datagram Protocol (UDP; ユーザ データグラム プロトコル) Internet Group Management Protocol(IGMP; インター ネット グループ 管 理 プロトコル) Internet Control Message Protocol(ICMP; インターネット 制 御 メッセージ プロトコル)を 含 む IPv4 トラフィックをフィルタリングします イーサネット ACL は 非 IP トラフィックをフィルタリングします このスイッチでは Quality Of Service(QoS; サービス 品 質 ) 分 類 の ACL もサポートされています 詳 細 については QoS ACL に 基 づく 分 類 (P.39-8)を 参 照 してください ここでは 次 の 概 念 情 報 について 説 明 します サポートされる ACL (P.38-2) フラグメント 化 およびフラグメント 解 除 されたトラフィックの 処 理 (P.38-5) サポートされる ACL ( 注 ) ルータ ACL および VLAN マップは IP サービス イメージが 稼 動 しているスイッチ 上 でだけサポート されます ポート ACL は レイヤ 2 インターフェイスに 着 信 するトラフィックをアクセス 制 御 します 発 信 方 向 のポート ACL は このスイッチではサポートされていません レイヤ 2 インターフェイスに は IP アクセス リストと MAC アクセス リストを 1 つずつしか 適 用 できません 詳 細 については ポート ACL (P.38-3)を 参 照 してください ルータ ACL は VLAN 間 のルーテッド トラフィックをアクセス 制 御 し 特 定 の 方 向 ( 着 信 または 発 信 )のレイヤ 3 インターフェイスに 適 用 されます 詳 細 については ルータ ACL (P.38-4) を 参 照 してください VLAN ACL または VLAN マップは すべてのパケット(ブリッジドおよびルーテッド)をアクセ ス 制 御 します VLAN マップを 使 用 すると 同 じ VLAN 内 の 装 置 間 のトラフィックをフィルタリ ングできます VLAN マップを 設 定 すると IPv4 のレイヤ 3 アドレスに 基 づいたアクセス 制 御 を 行 います サポートされていないプロトコルは イーサネット ACE を 使 用 する MAC アドレスを 通 じてアクセス 制 御 されます VLAN マップが VLAN に 適 用 されると VLAN に 着 信 するすべて のパケット(ルーテッドまたはブリッジド)が VLAN マップと 照 合 されます パケットは ス イッチ ポートまたはルーティングされたあとのルーテッド ポートのいずれかを 通 して VLAN に 入 ることができます 詳 細 については VLAN マップ (P.38-5)を 参 照 してください ユーザは 同 一 のスイッチ 上 で 入 力 ポート ACL ルータ ACL VLAN マップを 使 用 できます ただ し ポート ACL はルータ ACL や VLAN マップよりも 優 先 されます 入 力 ポート ACL と VLAN マップの 両 方 が 適 用 されている 場 合 ポート ACL が 適 用 されたポート 上 で 受 信 された 着 信 パケットには ポート ACL のフィルタが 適 用 されます その 他 のパケットに は VLAN マップのフィルタが 適 用 されます 38-2

第 38 章 ACL の 概 要 Switch Virtual Interface(SVI; スイッチ 仮 想 インターフェイス)に 入 力 ルータ ACL および 入 力 ポート ACL が 設 定 されている 場 合 に ポート ACL が 適 用 されているポートにパケットが 着 信 す ると このパケットはポート ACL によってフィルタリングされます 他 のポートで 受 信 した 着 信 のルーティング IP パケットには ルータ ACL のフィルタが 適 用 されます 他 のパケットはフィル タリングされません 出 力 ルータ ACL および 入 力 ポート ACL が SVI に 存 在 している 場 合 ポート ACL が 適 用 された ポート 上 で 受 信 された 着 信 パケットには ポート ACL のフィルタが 適 用 されます 発 信 するルー ティング IP パケットには ルータ ACL のフィルタが 適 用 されます 他 のパケットはフィルタリン グされません VLAN マップ 入 力 ルータ ACL および 入 力 ポート ACL が SVI に 存 在 している 場 合 ポート ACL が 適 用 されたポート 上 で 受 信 された 着 信 パケットには ポート ACL のフィルタだけが 適 用 されま す 他 のポートで 受 信 した 着 信 のルーティング IP パケットには VLAN マップおよびルータ ACL のフィルタが 適 用 されます 他 のパケットには VLAN マップのフィルタだけ 適 用 されます VLAN マップ 出 力 ルータ ACL および 入 力 ポート ACL が SVI に 存 在 している 場 合 ポート ACL が 適 用 されたポート 上 で 受 信 された 着 信 パケットには ポート ACL のフィルタだけが 適 用 さ れます 発 信 するルーティング IP パケットには VLAN マップおよびルータ ACL のフィルタが 適 用 されます 他 のパケットには VLAN マップのフィルタだけ 適 用 されます IEEE 802.1Q トンネリングがインターフェイス 上 で 設 定 されている 場 合 トンネル ポートで 受 信 され た IEEE 802.1Q カプセル 化 IP パケットには MAC ACL のフィルタを 適 用 できますが IP ACL のフィ ルタは 適 用 できません これは スイッチが IEEE 802.1Q ヘッダー 内 部 のプロトコルを 認 識 しないた めです ルータ ACL ポート ACL および VLAN マップに この 制 限 が 適 用 されます IEEE 802.1Q トンネリングの 詳 細 については 第 20 章 IEEE 802.1Q およびレイヤ 2 プロトコル トンネリ ングの 設 定 を 参 照 してください ポート ACL ポート ACL は スイッチ 上 のレイヤ 2 インターフェイスに 適 用 される ACL です ポート ACL は EtherChannel インターフェイス 上 ではなく 物 理 インターフェイス 上 でだけサポートされ 着 信 方 向 の インターフェイスにだけ 適 用 できます 次 のアクセス リストがサポートされています 送 信 元 アドレスを 使 用 する 標 準 IP アクセス リスト 送 信 元 アドレスおよび 宛 先 アドレスと 任 意 のプロトコル タイプ 情 報 を 使 用 する 拡 張 IP アクセス リスト 送 信 元 MAC アドレスおよび 宛 先 MAC アドレスと 任 意 のプロトコル タイプ 情 報 を 使 用 する MAC 拡 張 アクセス リスト スイッチは 指 定 したインターフェイス 上 で 設 定 されたすべての 着 信 機 能 と 関 連 付 けられた ACL を 検 証 し パケットが ACL 内 のエントリとどのように 一 致 するかに 基 づいてパケット 転 送 を 許 可 または 拒 否 します このようにして ACL はネットワーク 全 体 またはネットワークの 一 部 に 対 するアクセスを 制 御 します 図 38-1 に すべてのワークステーションが 同 一 VLAN 内 にある 場 合 に ポート ACL を 使 用 してネットワークへのアクセスを 制 御 する 例 を 示 します レイヤ 2 入 力 に 適 用 された ACL は ホス ト A から 人 事 部 のネットワークへのアクセスは 許 可 しますが ホスト B から 同 じネットワークへのア クセスは 禁 止 します ポート ACL は 着 信 方 向 のレイヤ 2 インターフェイスにしか 適 用 できません 38-3

ACL の 概 要 第 38 章 図 38-1 ACL によるネットワークへのトラフィックの 制 御 A B Human Resources Research & Development = B A ACL = 101365 ポート ACL をトランク ポートに 適 用 すると ACL によってトランク ポート 上 に 存 在 するすべての VLAN のトラフィックがフィルタリングされます ポート ACL を 音 声 VLAN のポートに 適 用 すると ACL によってデータと 音 声 の 両 方 の VLAN のトラフィックがフィルタリングされます ポート ACL を 使 用 すると IP トラフィックは IP アクセス リストでフィルタリングし 非 IP トラ フィックは MAC アドレスでフィルタリングすることができます インターフェイスに IP アクセス リ ストと MAC アクセス リストの 両 方 を 適 用 すると 同 じレイヤ 2 インターフェイスで IP トラフィック と 非 IP トラフィックの 両 方 をフィルタリングできます ( 注 ) 1 つのレイヤ 2 インターフェイスには IP アクセス リストと MAC アクセス リストを 1 つずつしか 適 用 できません IP アクセス リストまたは MAC アクセス リストがレイヤ 2 インターフェイス 上 ですで に 設 定 されている 場 合 に 新 しい IP アクセス リストまたは MAC アクセス リストをこのインターフェ イスに 適 用 すると 以 前 に 設 定 されていた ACL は 新 しい ACL で 置 換 されます ルータ ACL VLAN へのレイヤ 3 インターフェイスである SVI 物 理 レイヤ 3 インターフェイス およびレイヤ 3 EtherChannel インターフェイスに ルータ ACL を 適 用 できます ルータ ACL はインターフェイス 上 で 特 定 の 方 向 ( 着 信 または 発 信 )に 対 して 適 用 します インターフェイス 上 の 各 方 向 で 1 つのルータ ACL を 適 用 できます 1 つの ACL をある 特 定 インターフェイスの 複 数 の 機 能 に 使 用 できます また 1 つの 機 能 に 複 数 の ACL を 使 用 することもできます 複 数 の 機 能 で 1 つのルータ ACL が 使 用 されている 場 合 は その ACL が 複 数 回 検 証 されます IPv4 トラフィックに 対 して 次 のアクセス リストがサポートされています 標 準 IP アクセス リストでは 照 合 処 理 に 送 信 元 アドレスが 使 用 されます 拡 張 IP アクセス リストでは 照 合 処 理 に 送 信 元 アドレスおよび 宛 先 アドレスと 任 意 のプロトコ ル 情 報 が 使 用 されます 38-4

第 38 章 ACL の 概 要 ポート ACL と 同 様 に スイッチは 指 定 のインターフェイス 上 で 設 定 された 機 能 と 関 連 付 けられた ACL を 検 証 します ただし ルータ ACL は 双 方 向 で 使 用 できますが 適 用 できるのは 着 信 ポート ACL だ けです パケットがインターフェイス 上 でスイッチに 入 ってくると そのインターフェイス 上 で 設 定 さ れたすべての 着 信 機 能 と 関 連 付 けられた ACL が 検 証 されます パケットがルーティングされたあと ネクストホップに 転 送 される 前 に 出 力 インターフェイス 上 で 設 定 された 発 信 機 能 と 関 連 付 けられた ACL がすべて 検 証 されます ACL は ACL 内 のエントリとパケットの 一 致 結 果 に 応 じて パケット 転 送 を 許 可 するか 拒 否 するかを 決 めます ACL を 使 用 すると ネットワーク 全 体 またはネットワークの 一 部 に 対 するアクセス 制 御 が 行 えます 図 38-1 では ルータ 入 力 に 適 用 された ACL は ホスト A から 人 事 部 のネットワークへの アクセスは 許 可 しますが ホスト B から 同 じネットワークへのアクセスは 禁 止 します VLAN マップ すべてのトラフィックをアクセス 制 御 するには VLAN ACL または VLAN マップを 使 用 します VLAN マップは VLAN に(または VLAN から)ルーティングされる あるいはスイッチの VLAN 内 でブリッジされるすべてのパケットに 適 用 できます VLAN マップは セキュリティ パケット フィルタリングに 使 用 します VLAN マップは 方 向 ( 入 力 ま たは 出 力 ) 別 では 定 義 されません IPv4 トラフィックのレイヤ 3 アドレスと 照 合 する VLAN マップを 設 定 できます 非 IP プロトコルはすべて MAC VLAN マップを 使 用 する MAC アドレスおよび Ethertype を 通 して アクセス 制 御 されます(IP トラフィックは MAC VLAN マップではアクセス 制 御 されません) スイッ チを 通 過 するパケットに 対 してだけ VLAN マップを 適 用 できますが ハブ 上 またはこのスイッチに 接 続 された 別 のスイッチ 上 のホスト 間 のトラフィックに 対 しては VLAN マップを 適 用 できません VLAN マップを 使 用 すると マップ 内 で 指 定 されたアクションに 基 づいて パケット 転 送 が 許 可 また は 拒 否 されます 図 38-2 に VLAN マップを 適 用 して VLAN 10 内 のホスト A からの 特 定 タイプの トラフィックが 転 送 されないようにする 方 法 を 示 します VLAN に 適 用 できる VLAN マップは 1 つだ けです 図 38-2 VLAN マップによるトラフィック 制 御 A VLAN 10 B VLAN 10 = A VLAN = 92919 フラグメント 化 およびフラグメント 解 除 されたトラフィックの 処 理 IP パケットは ネットワークを 通 過 するときにフラグメント 化 できます フラグメント 化 が 行 われた 場 合 TCP または UDP ポート 番 号 ICMP タイプおよびコードなどのレイヤ 4 情 報 は パケットの 先 頭 が 格 納 されたフラグメントにだけ 含 まれます 他 のすべてのフラグメントには この 情 報 はありません 38-5

ACL の 概 要 第 38 章 ACE の 中 には レイヤ 4 情 報 を 確 認 しないため すべてのパケット フラグメントに 適 用 できるものも あります レイヤ 4 情 報 をテストする ACE は 標 準 の 方 法 では フラグメント 化 された IP パケット 内 の 大 半 のフラグメントに 適 用 できません フラグメントにレイヤ 4 情 報 がなく ACE が 何 らかのレイ ヤ 4 情 報 をテストする 場 合 は 照 合 ルールが 変 更 されます フラグメント 内 のレイヤ 3 情 報 (TCP UDP などのプロトコル タイプを 含 む)を 確 認 する 許 可 ACE は 欠 落 しているレイヤ 4 情 報 の 内 容 にかかわらず フラグメントと 一 致 するものと 見 なさ れます レイヤ 4 情 報 を 確 認 する 拒 否 ACE は フラグメントにレイヤ 4 情 報 が 含 まれていない 限 り その フラグメントとは 一 致 しません 次 のコマンドで 設 定 されたアクセス リスト 102 が フラグメント 化 された 3 つのパケットに 適 用 され るとします Switch(config)# access-list 102 permit tcp any host 10.1.1.1 eq smtp Switch(config)# access-list 102 deny tcp any host 10.1.1.2 eq telnet Switch(config)# access-list 102 permit tcp any host 10.1.1.2 Switch(config)# access-list 102 deny tcp any any ( 注 ) この 例 の 最 初 および 2 番 めの ACE で 宛 先 アドレスのあとの eq キーワードは TCP 宛 先 ポートの 既 知 の 番 号 がそれぞれ Simple Mail Transfer Protocol(SMTP; シンプル メール 転 送 プロトコル)および Telnet と 一 致 しているかどうかをテストすることを 意 味 します パケット A は ホスト 10.2.2.2 ポート 65000 から SMTP ポート 上 のホスト 10.1.1.1 に 転 送 され る TCP パケットです すべてのレイヤ 4 情 報 が 存 在 するため このパケットがフラグメント 化 さ れている 場 合 は 最 初 のフラグメントが 完 全 なパケットであるかのように 最 初 の ACE( 許 可 )と 一 致 します 最 初 の ACE はフラグメントに 適 用 された 際 のレイヤ 3 情 報 をチェックするだけなの で SMTP ポート 情 報 が 含 まれていなくても 残 りのフラグメントも 最 初 の ACE と 一 致 します この 例 の 情 報 では パケットは TCP 宛 先 は 10.1.1.1 になっています パケット B は ホスト 10.2.2.2 ポート 65001 から Telnet ポート 上 のホスト 10.1.1.2 に 転 送 され ます すべてのレイヤ 3 およびレイヤ 4 情 報 が 存 在 するため このパケットがフラグメント 化 され ている 場 合 は 最 初 のフラグメントが 2 番 めの ACE( 拒 否 )と 一 致 します パケット 内 の 残 りの フラグメントにはレイヤ 4 情 報 がないため 2 番 めの ACE とは 一 致 しません 代 わりに 残 りの フラグメントは 3 番 めの ACE( 許 可 )と 一 致 します 最 初 のフラグメントは 拒 否 されたため ホスト 10.1.1.2 は 完 全 なパケットを 再 構 成 できません こ のため パケット B は 事 実 上 拒 否 されます ただし 許 可 されたあとのフラグメントは パケッ トの 再 構 成 を 試 みる 際 に ネットワーク 上 の 帯 域 幅 とホスト 10.1.1.2 のリソースを 消 費 します フラグメント 化 されたパケット C は ホスト 10.2.2.2 ポート 65001 からホスト 10.1.1.3 ポート ftp に 転 送 されます このパケットがフラグメント 化 されている 場 合 は 最 初 のフラグメントが 4 番 めの ACE( 拒 否 )と 一 致 します 4 番 めの ACE はレイヤ 4 情 報 をチェックせず 全 フラグメント 内 のレ イヤ 3 情 報 は 全 フラグメントがホスト 10.1.1.3 に 送 信 されることを 示 しており 前 の 許 可 ACE は 別 のホストをチェックしていたため 他 のフラグメントもすべて 4 番 めの ACE と 一 致 します 38-6

第 38 章 IPv4 ACL の 設 定 IPv4 ACL の 設 定 このスイッチで IP v4acl を 設 定 する 方 法 は 他 の Cisco スイッチおよびルータで IPv4 ACL を 設 定 す る 方 法 と 同 じです 次 に このプロセスについて 簡 単 に 説 明 します ACL の 設 定 の 詳 細 については Cisco IOS IP Configuration Guide, Release 12.2 にある IP Addressing and Services の Configuring IP Services を 参 照 してください コマンドの 詳 細 については Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services, Release 12.2 を 参 照 してください Cisco IOS の マニュアルは Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Configuration Guides] または [Command References] から 入 手 できます このスイッチでは 次 の Cisco IOS ルータ ACL 関 連 機 能 はサポートされていません 非 IP プロトコル ACL( 表 38-1(P.38-8)を 参 照 )またはブリッジグループ ACL IP アカウンティング 着 信 および 発 信 レート 制 限 (QoS ACL を 使 用 した 場 合 を 除 く) 再 帰 ACL またはダイナミック ACL(スイッチ クラスタリング 機 能 で 使 用 される 一 部 の 特 殊 な ダイナミック ACL を 除 く) ポート ACL および VLAN マップに 関 する ACL ロギング 次 に このスイッチで IP ACL を 使 用 するための 手 順 を 示 します ステップ 1 ステップ 2 アクセス リストの 番 号 または 名 前 およびアクセス 条 件 を 指 定 して ACL を 作 成 します ACL をインターフェイスまたは 端 末 回 線 に 適 用 します また 標 準 および 拡 張 IP ACL を VLAN マッ プに 適 用 することもできます ここでは 次 の 設 定 情 報 について 説 明 します 標 準 および 拡 張 IPv4 ACL の 作 成 (P.38-7) 端 末 回 線 への IPv4 ACL の 適 用 (P.38-20) インターフェイスへの IPv4 ACL の 適 用 (P.38-20) IP ACL のハードウェアおよびソフトウェアの 処 理 (P.38-22) ACL のトラブルシューティング (P.38-23) IPv4 ACL の 設 定 例 (P.38-24) 標 準 および 拡 張 IPv4 ACL の 作 成 ここでは IP ACL について 説 明 します ACL とは 許 可 条 件 と 拒 否 条 件 を 列 挙 したものです スイッ チは パケットをアクセス リスト 内 の 各 条 件 と 1 つずつ 照 合 してテストします 最 初 の 条 件 一 致 で ス イッチがパケットを 受 け 入 れるか 拒 否 するかが 決 まります 最 初 の 一 致 後 にスイッチはテストを 停 止 す るため 条 件 の 順 序 が 重 要 となります どの 条 件 も 一 致 しない 場 合 スイッチはパケットを 拒 否 します ソフトウェアでは 次 のタイプの ACL または IPv4 対 応 アクセス リストがサポートされています 標 準 IP アクセス リストでは 照 合 処 理 に 送 信 元 アドレスが 使 用 されます 拡 張 IP アクセス リストでは 照 合 処 理 に 送 信 元 アドレスと 宛 先 アドレスが 使 用 され さらに 細 か い 制 御 を 行 う 場 合 は 任 意 でプロトコル タイプ 情 報 も 使 用 されます ここでは アクセス リストとその 作 成 手 順 について 説 明 します アクセス リスト 番 号 (P.38-8) 38-7

IPv4 ACL の 設 定 第 38 章 ACL ロギング (P.38-9) 番 号 付 き 標 準 ACL の 作 成 (P.38-9) 番 号 付 き 拡 張 ACL の 作 成 (P.38-10) ACL 内 の ACE の 順 序 変 更 (P.38-15) 名 前 付 き 標 準 および 拡 張 ACL の 作 成 (P.38-15) ACL での 時 間 範 囲 の 使 用 (P.38-17) ACL でのコメント 付 け (P.38-19) アクセス リスト 番 号 ACL を 表 すために 使 用 する 番 号 は 作 成 するアクセス リストのタイプを 示 します 表 38-1 に アク セス リスト 番 号 とそれに 対 応 するアクセス リスト タイプを 示 し それらがスイッチでサポートされて いるかどうかを 示 します このスイッチでは IPv4 の 標 準 および 拡 張 アクセス リスト 番 号 1 ~ 199 および 1300 ~ 2699 がサポートされています 表 38-1 アクセス リスト 番 号 アクセス リスト 番 号 タイプ サポート 1 ~ 99 IP 標 準 アクセス リスト あり 100 ~ 199 IP 拡 張 アクセス リスト あり 200 ~ 299 プロトコル タイプコード アクセス リスト なし 300 ~ 399 DECnet アクセス リスト なし 400 ~ 499 XNS 標 準 アクセス リスト なし 500 ~ 599 XNS 拡 張 アクセス リスト なし 600 ~ 699 AppleTalk アクセス リスト なし 700 ~ 799 48 ビット MAC アドレス アクセス リスト なし 800 ~ 899 IPX 標 準 アクセス リスト なし 900 ~ 999 IPX 拡 張 アクセス リスト なし 1000 ~ 1099 IPX SAP アクセス リスト なし 1100 ~ 1199 拡 張 48 ビット MAC アドレス アクセス リスト なし 1200 ~ 1299 IPX サマリー アドレス アクセス リスト なし 1300 ~ 1999 IP 標 準 アクセス リスト( 拡 張 範 囲 ) あり 2000 ~ 2699 IP 拡 張 アクセス リスト( 拡 張 範 囲 ) あり ( 注 ) 番 号 付 きの 標 準 および 拡 張 ACL に 加 えて サポート 対 象 の 番 号 を 使 用 して 名 前 付 きの 標 準 および 拡 張 IP ACL を 作 成 することもできます つまり 標 準 IP ACL の 名 前 には 1 ~ 99 拡 張 IP ACL の 名 前 に は 100 ~ 199 を 使 用 できます 番 号 付 きリストではなく 名 前 付 き ACL を 使 用 することの 利 点 は 名 前 付 きリストから 個 別 のエントリを 削 除 できることです 38-8

第 38 章 IPv4 ACL の 設 定 ACL ロギング スイッチ ソフトウェアでは 標 準 の IP アクセス リストによって 許 可 または 拒 否 されたパケットに 関 す るロギング メッセージを 提 供 できます つまり パケットが ACL と 一 致 すると そのパケットの 詳 細 を 示 すロギング メッセージがコンソールに 送 信 されます コンソールに 記 録 されるメッセージのレベ ルは syslog メッセージを 制 御 する logging console コマンドで 制 御 します ( 注 ) ルーティングはハードウェアで 行 われ ロギングはソフトウェアで 行 われるため 多 数 のパケットが log キーワードを 含 む 許 可 または 拒 否 ACE と 一 致 する 場 合 は ソフトウェアがハードウェアの 処 理 速 度 に 対 応 できず 一 部 のパケットが 記 録 されない 可 能 性 があります ACL をトリガーする 最 初 のパケットによって ロギング メッセージが 直 ちに 表 示 され 後 続 のパケッ トは 5 分 間 隔 で 収 集 されたあと 表 示 または 記 録 されます ロギング メッセージには アクセス リス ト 番 号 パケットが 許 可 されたか 拒 否 されたか パケットの 送 信 元 IP アドレス 直 前 の 5 分 間 隔 でこ の 送 信 元 から 許 可 または 拒 否 されたパケットの 数 が 含 まれます 番 号 付 き 標 準 ACL の 作 成 番 号 付 き 標 準 ACL を 作 成 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 access-list access-list-number {deny permit} source [source-wildcard] [log] 送 信 元 アドレスとワイルドカードを 使 用 して 標 準 IPv4 アクセ ス リストを 定 義 します access-list-number 値 は 1 ~ 99 または 1300 ~ 1999 の 範 囲 の 10 進 数 値 です deny または permit を 入 力 して 条 件 が 一 致 した 場 合 にアクセス を 拒 否 するのか 許 可 するのかを 指 定 します source 値 は パケットの 送 信 元 となるネットワークまたはホスト のアドレスであり 次 の 形 式 で 指 定 されます ドット 付 き 10 進 表 記 による 32 ビット 長 の 値 source および source-wildcard 値 0.0.0.0 255.255.255.255 の 略 を 意 味 するキーワード any source-wildcard を 入 力 する 必 要 はありません source および source-wildcard 値 source 0.0.0.0 の 略 を 意 味 す るキーワード host ( 任 意 )source-wildcard を 使 用 して ワイルドカード ビットを 送 信 元 に 適 用 します ( 任 意 )log を 入 力 すると エントリと 一 致 するパケットの 詳 細 を 示 すロギング メッセージがコンソールに 送 信 されます ステップ 3 end 特 権 EXEC モードに 戻 ります ステップ 4 show access-lists [number name] アクセス リスト コンフィギュレーションを 表 示 します ステップ 5 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 38-9

IPv4 ACL の 設 定 第 38 章 ACL 全 体 を 削 除 するには no access-list access-list-number グローバル コンフィギュレーション コマ ンドを 使 用 します 番 号 付 きアクセス リストから 個 別 の ACE は 削 除 できません ( 注 ) ACL を 作 成 する 場 合 は ACL の 最 後 尾 に 達 する 前 に 一 致 が 見 つからないときに すべてのパケットに 適 用 される 暗 黙 の 拒 否 暗 黙 の 拒 否 文 が デフォルトで ACL の 最 後 尾 に 含 まれることに 注 意 してくださ い 標 準 アクセス リストで 関 連 IP ホスト アドレス ACL の 指 定 からマスクを 省 略 した 場 合 は 0.0.0.0 がマスクと 見 なされます 次 に IP ホスト 171.69.198.102 へのアクセスを 拒 否 し それ 以 外 へのアクセスを 許 可 し 結 果 を 表 示 する 標 準 ACL を 作 成 する 例 を 示 します Switch (config)# access-list 2 deny host 171.69.198.102 Switch (config)# access-list 2 permit any Switch(config)# end Switch# show access-lists Standard IP access list 2 10 deny 171.69.198.102 20 permit any スイッチは 常 に 標 準 アクセス リストの 順 序 を 上 書 きします これにより host が 一 致 するエントリ および don't care マスクが 0.0.0.0 に 一 致 するエントリがリストの 先 頭 に 移 動 され don't care マスクが 0 以 外 のどのエントリよりも 上 になります このため show コマンド 出 力 とコンフィギュレーション ファイルでは ACE は 必 ずしも 入 力 順 どおりには 表 示 されません 作 成 した 番 号 付 き 標 準 IPv4 ACL は 端 末 回 線 ( 端 末 回 線 への IPv4 ACL の 適 用 (P.38-20)を 参 照 ) インターフェイス( インターフェイスへの IPv4 ACL の 適 用 (P.38-20)を 参 照 ) または VLAN( VLAN マップの 設 定 (P.38-31)を 参 照 )に 適 用 できます 番 号 付 き 拡 張 ACL の 作 成 標 準 ACL では 送 信 元 アドレスだけを 照 合 に 使 用 しますが 照 合 処 理 に 拡 張 ACL の 送 信 元 アドレスと 宛 先 アドレスを 使 用 でき さらに 細 かい 制 御 を 行 う 場 合 は 任 意 でプロトコル タイプ 情 報 も 使 用 できま す 番 号 付 き 拡 張 アクセス リストで ACE を 作 成 する 場 合 は ACL の 作 成 後 の 追 加 はすべてリストの 末 尾 に 置 かれることに 注 意 してください リストの 順 序 の 変 更 や 番 号 付 きリストでの ACE の 選 択 的 な 追 加 または 削 除 を 行 うことはできません プロトコルの 中 には 特 定 のパラメータやキーワードをそのプロトコルに 適 用 するものもあります 次 の IP プロトコルがサポートされています(カッコ 内 の 太 字 がプロトコル キーワードです) 認 証 ヘッダー プロトコル(ahp) Enhanced Interior Gateway Routing Protocol(eigrp) カプセル 化 セキュリティ ペイロード(esp) 総 称 ルーティング カプセル 化 (gre) インターネット 制 御 メッセー ジ プロトコル(icmp) インターネット グループ 管 理 プロトコル(igmp) 任 意 の 内 部 プロトコル (ip) IP in IP トンネリング(ipinip) KA9Q NOS 互 換 IP over IP トンネリング(nos) Open Shortest Path First ルーティング(ospf) ペイロード 圧 縮 プロトコル(pcp) Protocol Independent Multicast(pim) 伝 送 制 御 プロトコル(tcp) ユーザ データグラム プロトコル(udp) ( 注 ) ICMP エコー 応 答 はフィルタリングできません 他 のすべての ICMP コードまたはタイプはす べてフィルタリングできます 各 プロトコルの 特 定 のキーワードの 詳 細 については 次 のコマンド リファレンスを 参 照 してください Cisco IOS IP Command Reference, Volume 1 of 3: Addressing and Services, Release 12.2 Cisco IOS IP Command Reference, Volume 2 of 3: Routing Protocols, Release 12.2 38-10

第 38 章 IPv4 ACL の 設 定 Cisco IOS IP Command Reference, Volume 3 of 3: Multicast, Release 12.2 これらのマニュアルは Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References] から 入 手 できます ( 注 ) このスイッチでは ダイナミックまたは 再 帰 アクセス リストはサポートされていません また Type of Service(ToS; サービス タイプ)の minimize-monetary-cost ビットに 基 づいたフィルタリングもサ ポートされていません サポート 対 象 パラメータは TCP UDP ICMP IGMP その 他 の IP の 各 カテゴリに 分 類 できます 38-11

IPv4 ACL の 設 定 第 38 章 拡 張 ACL を 作 成 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2a access-list access-list-number 拡 張 IPv4 アクセス リストおよびアクセス 条 件 を 定 義 します {deny permit} protocol access-list-number 値 は 100 ~ 199 または 2000 ~ 2699 の 範 囲 の 10 進 数 値 source source-wildcard です destination destination-wildcard [precedence precedence] [tos tos] [fragments] [log] [log-input] deny または permit を 入 力 して 条 件 が 一 致 した 場 合 にパケットを 拒 否 するの か 許 可 するのかを 指 定 します [time-range time-range-name] [dscp dscp] ( 注 ) dscp 値 を 入 力 した 場 合 は tos と precedence は 入 力 できません dscp が ない 場 合 は tos と precedence の 両 方 の 値 を 入 力 できます protocol には IP プロトコルの 名 前 (ahp eigrp esp gre icmp igmp igrp ip ipinip nos ospf pcp pim tcp または udp) または 番 号 (IP プロトコル 番 号 を 示 す 0 ~ 255 の 範 囲 の 整 数 )を 入 力 します 任 意 のイン ターネット プロトコル(ICMP TCP および UDP を 含 む)を 照 合 するには キーワード ip を 使 用 します ( 注 ) この 手 順 には ほとんどの IP プロトコルのオプションが 含 まれていま す TCP UDP ICMP および IGMP の 具 体 的 なパラメータについ ては ステップ 2b ~ 2e を 参 照 してください source 値 は パケットの 送 信 元 となるネットワークまたはホストの 番 号 です source-wildcard を 使 用 して ワイルドカード ビットを 送 信 元 に 適 用 します destination 値 は パケットの 送 信 先 となるネットワークまたはホストの 番 号 です destination-wildcard を 使 用 して ワイルドカード ビットを 宛 先 に 適 用 します source source-wildcard destination および destination-wildcard は 次 の 形 式 で 指 定 できます ドット 付 き 10 進 表 記 による 32 ビット 長 の 値 0.0.0.0 255.255.255.255( 任 意 のホスト)を 表 すキーワード any シングル ホスト 0.0.0.0 を 表 すキーワード host その 他 のキーワードは 任 意 です 各 キーワードの 意 味 は 次 のとおりです precedence:0 ~ 7 の 数 値 または 名 前 で 指 定 された 優 先 レベルを 使 用 して パケットを 照 合 します 指 定 可 能 な 値 は routine(0) priority(1) immediate(2) flash(3) flash-override(4) critical(5) internet (6) network(7)です fragments: 非 初 期 フラグメントを 確 認 します tos:0 ~ 15 の 数 値 または 名 前 で 指 定 されたサービス タイプ レベルを 使 用 して 照 合 する 場 合 に 入 力 します 指 定 可 能 な 値 は normal(0) max-reliability(2) max-throughput(4) min-delay(8)です log:エントリと 一 致 するパケットの 詳 細 を 示 すロギング メッセージを 作 成 してコンソールに 送 信 します または log-input を 入 力 して ログ エ ントリに 入 力 インターフェイスを 含 めます time-range:このキーワードの 詳 細 については ACL での 時 間 範 囲 の 使 用 (P.38-17)を 参 照 してください dscp:0 ~ 63 の 数 値 で 指 定 された DSCP 値 を 使 用 してパケットを 照 合 し ます 使 用 可 能 な 値 のリストを 表 示 する 場 合 は 疑 問 符 (?)を 使 用 します 38-12

第 38 章 IPv4 ACL の 設 定 または access-list access-list-number {deny permit} protocol any any [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] または access-list access-list-number {deny permit} protocol host source host destination [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] ステッ プ 2b コマンド access-list access-list-number {deny permit} tcp source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] [flag] 目 的 アクセス リスト コンフィギュレーション モードで source および source wildcard 値 0.0.0.0 255.255.255.255 の 略 と destination および destination wildcard 値 0.0.0.0 255.255.255.255 の 略 を 使 用 して 拡 張 IP アクセス リスト を 定 義 します 送 信 元 と 宛 先 のアドレスおよびワイルドカードの 代 わりに any キーワードを 使 用 できます source および source wildcard 値 source 0.0.0.0 の 略 と destination および destination wildcard 値 destination 0.0.0.0 の 略 を 使 用 して 拡 張 IP アクセス リストを 定 義 します 送 信 元 と 宛 先 のワイルドカードまたはマスクの 代 わりに host キーワードを 使 用 できます ( 任 意 ) 拡 張 TCP アクセス リストおよびアクセス 条 件 を 定 義 します TCP の 場 合 は tcp を 入 力 します パラメータはステップ 2a で 説 明 されているパラメータと 同 じです ただし 次 の 例 外 があります ( 任 意 ) 送 信 元 ポート(source source-wildcard の 後 ろに 置 かれた 場 合 )または 宛 先 ポート(destination destination-wildcard の 後 ろに 置 かれた 場 合 )を 比 較 する 場 合 は operator および port を 入 力 します 使 用 できる 演 算 子 には eq (equal: 一 致 ) gt(greater than:より 大 きい) lt(less than: 未 満 ) neq (not equal: 不 一 致 ) range(inclusive range: 包 含 範 囲 )があります 演 算 子 にはポート 番 号 が 必 要 です(range にはスペースで 区 切 った 2 つのポート 番 号 が 必 要 です) 10 進 数 値 (0 ~ 65535)の port または TCP ポート 名 を 入 力 します TCP ポー ト 名 を 表 示 するには? を 使 用 するか Cisco IOS IP Configuration Guide, Release 12.2 にある IP Addressing and Services の Configuring IP Services を 参 照 してください TCP をフィルタリングする 場 合 は TCP ポー ト 番 号 またはポート 名 だけを 使 用 します その 他 の 任 意 のキーワードの 意 味 は 次 のとおりです established: 確 立 された 接 続 を 照 合 します これには ack または rst フ ラグの 照 合 と 同 じ 機 能 があります ステッ プ 2c access-list access-list-number {deny permit} udp source source-wildcard [operator port] destination destination-wildcard [operator port] [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] flag: 指 定 された TCP ヘッダー ビットによって 照 合 する 場 合 は 次 のい ずれかのフラグを 入 力 します ack(acknowledge: 確 認 応 答 ) fin (finish: 終 了 ) psh(push:プッシュ) rst(reset:リセット) syn (synchronize: 同 期 ) urg(urgent: 緊 急 ) ( 任 意 ) 拡 張 UDP アクセス リストおよびアクセス 条 件 を 定 義 します UDP の 場 合 は udp を 入 力 します UDP パラメータは TCP に 関 して 説 明 されているパラメータと 同 じですが [operator [port]] のポート 番 号 またはポート 名 は UDP ポートの 番 号 または 名 前 でなければなりません また UDP の 場 合 flag および established パラ メータは 無 効 です 38-13

IPv4 ACL の 設 定 第 38 章 ステッ プ 2d コマンド access-list access-list-number {deny permit} icmp source source-wildcard destination destination-wildcard [icmp-type [[icmp-type icmp-code] [icmp-message]] [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] 目 的 ( 任 意 ) 拡 張 ICMP アクセス リストおよびアクセス 条 件 を 定 義 します ICMP の 場 合 は icmp を 入 力 します ICMP パラメータはステップ 2a の IP プロトコルに 関 して 説 明 されているパラ メータとほとんど 同 じですが ICMP メッセージ タイプおよびコード パラ メータが 追 加 されています 任 意 のキーワードの 意 味 は 次 のとおりです icmp-type:icmp メッセージ タイプを 基 準 にしてフィルタリングします 0 ~ 255 の 値 を 使 用 できます icmp-code:icmp メッセージ コード タイプを 基 準 にしてフィルタリング します 0 ~ 255 の 値 を 使 用 できます ステッ プ 2e access-list access-list-number {deny permit} igmp source source-wildcard destination destination-wildcard [igmp-type] [precedence precedence] [tos tos] [fragments] [log] [log-input] [time-range time-range-name] [dscp dscp] icmp-message:icmp メッセージ タイプ 名 または ICMP メッセージの タイプおよびコード 名 を 基 準 にして ICMP パケットをフィルタリングし ます ICMP メッセージのタイプ 名 およびコード 名 のリストについては? を 使 用 するか Cisco IOS IP Configuration Guide, Release 12.2 にあ る Configuring IP Services を 参 照 してください ( 任 意 ) 拡 張 IGMP アクセス リストおよびアクセス 条 件 を 定 義 します IGMP の 場 合 は igmp を 入 力 します ステップ 3 end 特 権 EXEC モードに 戻 ります IGMP パラメータはステップ 2a の IP プロトコルに 関 して 説 明 されているパラ メータとほとんど 同 じですが 次 に 示 す 任 意 のパラメータが 追 加 されています igmp-type:igmp メッセージ タイプを 照 合 するには 0 ~ 15 の 数 値 または メッセージ 名 (dvmrp host-query host-report pim または trace)を 入 力 します ステップ 4 show access-lists [number name] アクセス リスト コンフィギュレーションを 確 認 します ステップ 5 copy running-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します startup-config アクセス リスト 全 体 を 削 除 するには no access-list access-list-number グローバル コンフィギュレー ション コマンドを 使 用 します 番 号 付 きアクセス リストから 個 別 の ACE は 削 除 できません 次 に 拡 張 アクセス リストを 作 成 および 表 示 して ネットワーク 171.69.198.0 内 の 任 意 のホストから ネットワーク 172.20.52.0 内 の 任 意 のホストへの Telnet アクセスを 拒 否 し それ 以 外 はすべて 許 可 する 例 を 示 します( 宛 先 アドレスのあとの eq キーワードは TCP 宛 先 ポート 番 号 が Telnet と 一 致 している かどうかをテストすることを 意 味 します) Switch(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet Switch(config)# access-list 102 permit tcp any any Switch(config)# end Switch# show access-lists Extended IP access list 102 10 deny tcp 171.69.198.0 0.0.0.255 172.20.52.0 0.0.0.255 eq telnet 20 permit tcp any any 38-14

第 38 章 IPv4 ACL の 設 定 ACL の 作 成 後 の 追 加 ( 端 末 から 入 力 される 可 能 性 がある)は すべてリストの 末 尾 に 置 かれます 番 号 付 きアクセス リストでアクセス リスト エントリを 選 択 的 に 追 加 または 削 除 できません ( 注 ) ACL を 作 成 する 場 合 は アクセス リストの 最 後 尾 に 達 する 前 に 一 致 が 見 つからないときに すべての パケットに 適 用 される 暗 黙 の 拒 否 文 が デフォルトでアクセス リストの 最 後 尾 に 含 まれることに 注 意 してください 作 成 した 番 号 付 き 拡 張 ACL は 端 末 回 線 ( 端 末 回 線 への IPv4 ACL の 適 用 (P.38-20)を 参 照 ) イ ンターフェイス( インターフェイスへの IPv4 ACL の 適 用 (P.38-20)を 参 照 ) または VLAN ( VLAN マップの 設 定 (P.38-31)を 参 照 )に 適 用 できます ACL 内 の ACE の 順 序 変 更 アクセス リスト 内 のエントリのシーケンス 番 号 は 新 しい ACL の 作 成 時 に 自 動 的 に 生 成 されます ip access-list resequence グローバル コンフィギュレーション コマンドを 使 用 すると ACL 内 のシーケ ンス 番 号 を 編 集 して ACE の 適 用 順 序 を 変 更 することができます たとえば 新 しい ACE を ACL に 追 加 すると その ACE はリストの 末 尾 に 置 かれます シーケンス 番 号 を 変 更 すると この ACE を ACL 内 の 別 の 位 置 に 移 動 できます ip access-list resequence コマンドの 詳 細 については 次 の URL を 参 照 してください http://preview.cisco.com/en/us/products/sw/iosswrel/ps1838/products_feature_guide09186a0080134a 60.html 名 前 付 き 標 準 および 拡 張 ACL の 作 成 IPv4 ACL を 番 号 ではなく 英 数 字 のストリング( 名 前 )で 識 別 することができます 名 前 付 き ACL を 使 用 して 番 号 付 きアクセス リストを 使 用 した 場 合 よりも 多 くの IPv4 アクセス リストをルータに 設 定 できます 番 号 ではなく 名 前 でアクセス リストを 識 別 する 場 合 は モードとコマンド 構 文 が 若 干 異 な ります ただし IP アクセス リストを 使 用 するすべてのコマンドが 名 前 付 きアクセス リストを 受 け 入 れるとは 限 りません ( 注 ) 標 準 または 拡 張 ACL に 付 ける 名 前 は サポート 対 象 のアクセス リスト 番 号 範 囲 の 数 値 でも 構 いませ ん つまり 標 準 IP ACL の 名 前 には 1 ~ 99 拡 張 IP ACL の 名 前 には 100 ~ 199 を 使 用 できます 番 号 付 きリストではなく 名 前 付 き ACL を 使 用 することの 利 点 は 名 前 付 きリストから 個 別 のエントリ を 削 除 できることです 名 前 付 き ACL を 設 定 する 場 合 は 次 の 注 意 事 項 および 制 限 事 項 を 考 慮 してください 番 号 付 き ACL を 受 け 入 れるすべてのコマンドが 名 前 付 き ACL を 受 け 入 れるとは 限 りません インターフェイス 上 のパケット フィルタとルート フィルタに 関 する ACL には 名 前 を 使 用 できま す VLAN マップも 名 前 を 受 け 入 れます 標 準 ACL と 拡 張 ACL は 同 じ 名 前 にできません 番 号 付 き ACL も 使 用 可 能 です( 標 準 および 拡 張 IPv4 ACL の 作 成 (P.38-7)を 参 照 ) VLAN マップでは 標 準 および 拡 張 ACL( 名 前 付 きまたは 番 号 付 き)を 使 用 できます 38-15

IPv4 ACL の 設 定 第 38 章 名 前 を 使 用 して 標 準 ACL を 作 成 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 ip access-list standard name 名 前 を 使 用 して 標 準 IPv4 アクセス リストを 定 義 し アクセスリ スト コンフィギュレーション モードを 開 始 します 名 前 には 1 ~ 99 の 範 囲 の 数 値 を 使 用 できます ステップ 3 deny {source [source-wildcard] host source any} [log] または permit {source [source-wildcard] host source any} [log] アクセスリスト コンフィギュレーション モードで パケットを 転 送 するか 廃 棄 するかを 決 定 する 拒 否 条 件 または 許 可 条 件 を 1 つま たは 複 数 指 定 します host source:source および source wildcard 値 source 0.0.0.0 any:source および source wildcard 値 0.0.0.0 255.255.255.255 ステップ 4 end 特 権 EXEC モードに 戻 ります ステップ 5 show access-lists [number name] アクセス リスト コンフィギュレーションを 表 示 します ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 名 前 付 き 標 準 ACL を 削 除 するには no ip access-list standard name グローバル コンフィギュレー ション コマンドを 使 用 します 名 前 を 使 用 して 拡 張 ACL を 作 成 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 ip access-list extended name 名 前 を 使 用 して 拡 張 IPv4 アクセス リストを 定 義 し アクセスリ スト コンフィギュレーション モードを 開 始 します 名 前 には 100 ~ 199 の 範 囲 の 数 値 を 使 用 できます ステップ 3 {deny permit} protocol {source [source-wildcard] host source any} {destination [destination-wildcard] host destination any} [precedence precedence] [tos tos] [established] [log] [time-range time-range-name] アクセスリスト コンフィギュレーション モードで 許 可 条 件 ま たは 拒 否 条 件 を 指 定 します 違 反 を 含 むアクセス リスト ロギン グ メッセージを 取 得 するには log キーワードを 使 用 します プロトコルおよびその 他 のキーワードの 定 義 については 番 号 付 き 拡 張 ACL の 作 成 (P.38-10)を 参 照 してください host source:source および source wildcard 値 source 0.0.0.0 host destination:destination および destination wildcard 値 destination 0.0.0.0 any:source および source wildcard または destination およ び destination wildcard 値 0.0.0.0 255.255.255.255 ステップ 4 end 特 権 EXEC モードに 戻 ります ステップ 5 show access-lists [number name] アクセス リスト コンフィギュレーションを 表 示 します ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 名 前 付 き 拡 張 ACL を 削 除 するには no ip access-list extended name グローバル コンフィギュレー ション コマンドを 使 用 します 38-16

第 38 章 IPv4 ACL の 設 定 標 準 および 拡 張 ACL を 作 成 する 場 合 は ACL の 最 後 尾 に 達 する 前 に 一 致 が 見 つからないときに すべ てのパケットに 適 用 される 暗 黙 の 拒 否 文 が デフォルトで ACL の 最 後 尾 に 含 まれることに 注 意 してく ださい 標 準 ACL で 関 連 IP ホスト アドレス アクセス リストの 指 定 からマスクを 省 略 した 場 合 は 0.0.0.0 がマスクと 見 なされます ACL の 作 成 後 の 追 加 は すべてリストの 末 尾 に 置 かれます 特 定 の ACL に ACL エントリを 選 択 的 に 追 加 できません ただし no permit および no deny アクセスリスト コンフィギュレーション モード コマンドを 使 用 すると 名 前 付 き ACL からエントリを 削 除 できます 次 に 名 前 付 きアクセス リスト border-list から 個 別 の ACE を 削 除 する 例 を 示 します Switch(config)# ip access-list extended border-list Switch(config-ext-nacl)# no permit ip host 10.1.1.3 any 番 号 付 き ACL ではなく 名 前 付 き ACL を 使 用 する 理 由 の 1 つは 名 前 付 き ACL から 行 を 選 択 的 に 削 除 できることです 作 成 した 名 前 付 き ACL は インターフェイス( インターフェイスへの IPv4 ACL の 適 用 (P.38-20) を 参 照 ) または VLAN( VLAN マップの 設 定 (P.38-31)を 参 照 )に 適 用 できます ACL での 時 間 範 囲 の 使 用 time-range グローバル コンフィギュレーション コマンドを 使 用 すると 時 刻 や 週 に 基 づいて 拡 張 ACL を 選 択 的 に 適 用 できます まず 時 間 範 囲 名 を 定 義 し その 時 間 範 囲 内 の 日 時 や 曜 日 を 設 定 しま す 次 に ACL を 適 用 してアクセス リストへの 制 限 を 設 定 する 際 に 定 義 した 時 間 範 囲 名 を 入 力 しま す 時 間 範 囲 を 使 用 すると ACL 内 の permit または deny ステートメントが 有 効 な 時 期 ( 指 定 された 時 間 帯 や 指 定 された 曜 日 など)を 定 義 できます time-range キーワードおよび 引 数 については 前 述 の 標 準 および 拡 張 IPv4 ACL の 作 成 (P.38-7)および 名 前 付 き 標 準 および 拡 張 ACL の 作 成 (P.38-15)の 名 前 付 き 拡 張 ACL および 番 号 付 き 拡 張 ACL の 作 業 表 を 参 照 してください 時 間 範 囲 を 使 用 すると 次 のような 利 点 があります (IP アドレス / マスクのペアとポート 番 号 で 識 別 される)アプリケーションなどのリソースへの ユーザ アクセスの 許 可 または 拒 否 をより 細 かく 制 御 できます ロギング メッセージを 制 御 できます 特 定 の 時 刻 のトラフィックだけを 記 録 するように ACL エン トリを 設 定 できます このため ピーク 時 に 生 成 される 多 数 のログを 分 析 しなくても 単 にアクセ スを 拒 否 することができます 時 間 ベースのアクセス リストは CPU のアクティビティをトリガーします これは このアクセス リス トの 新 しい 設 定 を 他 の 機 能 や TCAM にロードされた 結 合 済 みの 設 定 と 統 合 する 必 要 があるためです このため 複 数 のアクセス リストを 短 時 間 に 連 続 で( 互 いに 数 分 以 内 で) 有 効 化 する 設 定 は 行 わない よう 注 意 してください ( 注 ) 時 間 範 囲 はスイッチのシステム クロックに 依 存 するため 信 頼 できるクロック ソースが 必 要 です ス イッチ クロックの 同 期 には Network Time Protocol(NTP; ネットワーク タイム プロトコル)を 使 用 することを 推 奨 します 詳 細 については システム 日 時 の 管 理 (P.7-1)を 参 照 してください 38-17

IPv4 ACL の 設 定 第 38 章 ACL の 時 間 範 囲 パラメータを 設 定 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 time-range time-range-name 作 成 する 時 間 範 囲 にわかりやすい 名 前 (たとえば workhours)を 割 り 当 てて time-range コンフィギュレーション モードを 開 始 します 名 前 に はスペースまたは 引 用 符 を 含 めることはできません また 名 前 の 先 頭 は 文 字 にする 必 要 があります ステップ 3 absolute [start time date] [end time date] 適 用 対 象 の 機 能 の 動 作 可 能 時 期 を 指 定 します または periodic day-of-the-week hh:mm to [day-of-the-week] hh:mm または periodic {weekdays weekend daily} hh:mm to hh:mm ステップ 4 end 特 権 EXEC モードに 戻 ります ステップ 5 show time-range 時 間 範 囲 の 設 定 を 確 認 します 時 間 範 囲 で 使 用 できる absolute ステートメントは 1 つだけです absolute ステートメントを 複 数 設 定 した 場 合 は 最 後 に 設 定 したス テートメントだけが 実 行 されます periodic ステートメントは 複 数 入 力 できます たとえば 平 日 と 週 末 に 異 なる 時 間 を 設 定 することができます 設 定 例 を 参 照 してください ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 異 なる 時 間 に 有 効 化 する 項 目 が 複 数 ある 場 合 は これらの 手 順 を 繰 り 返 します 設 定 された 時 間 範 囲 の 制 限 を 削 除 するには no time-range time-range-name グローバル コンフィギュ レーション コマンドを 使 用 します 次 に workhours の 時 間 範 囲 を 設 定 し 会 社 の 休 日 を 2006 年 1 月 1 日 に 設 定 して 設 定 内 容 を 確 認 す る 例 を 示 します Switch(config)# time-range workhours Switch(config-time-range)# periodic weekdays 8:00 to 12:00 Switch(config-time-range)# periodic weekdays 13:00 to 17:00 Switch(config-time-range)# exit Switch(config)# time-range new_year_day_2006 Switch(config-time-range)# absolute start 00:00 1 Jan 2006 end 23:59 1 Jan 2006 Switch(config-time-range)# end Switch# show time-range time-range entry: new_year_day_2003 (inactive) absolute start 00:00 01 January 2006 end 23:59 01 January 2006 time-range entry: workhours (inactive) periodic weekdays 8:00 to 12:00 periodic weekdays 13:00 to 17:00 時 間 範 囲 を 適 用 するには 時 間 範 囲 を 実 装 できる 拡 張 ACL に 時 間 範 囲 名 を 入 力 します 次 に 定 義 さ れた 休 日 の 時 間 中 は 任 意 の 送 信 元 から 任 意 の 宛 先 への TCP トラフィックを 拒 否 し 業 務 時 間 中 はすべ ての TCP トラフィックを 許 可 する 拡 張 アクセス リスト 188 を 作 成 および 確 認 する 例 を 示 します Switch(config)# access-list 188 deny tcp any any time-range new_year_day_2006 Switch(config)# access-list 188 permit tcp any any time-range workhours Switch(config)# end Switch# show access-lists Extended IP access list 188 10 deny tcp any any time-range new_year_day_2006 (inactive) 20 permit tcp any any time-range workhours (inactive) 38-18

第 38 章 IPv4 ACL の 設 定 次 に 名 前 付 き ACL を 使 用 して 同 じトラフィックを 許 可 および 拒 否 する 例 を 示 します Switch(config)# ip access-list extended deny_access Switch(config-ext-nacl)# deny tcp any any time-range new_year_day_2006 Switch(config-ext-nacl)# exit Switch(config)# ip access-list extended may_access Switch(config-ext-nacl)# permit tcp any any time-range workhours Switch(config-ext-nacl)# end Switch# show ip access-lists Extended IP access list lpip_default 10 permit ip any any Extended IP access list deny_access 10 deny tcp any any time-range new_year_day_2006 (inactive) Extended IP access list may_access 10 permit tcp any any time-range workhours (inactive) ACL でのコメント 付 け remark キーワードを 使 用 すると 任 意 の IP 標 準 ACL または IP 拡 張 ACL 内 のエントリに 関 するコメ ント( 備 考 )を 付 けることができます remark を 使 用 すると ACL がわかりやすく またスキャンし やすくなります 各 remark 行 は 100 文 字 以 内 に 制 限 されています remark は permit または deny ステートメントの 前 後 どちらにでも 設 定 できます どの remark ステー トメントがどの permit または deny ステートメントを 説 明 しているかが 明 確 になるように remark の 位 置 は 一 貫 性 を 保 ってください たとえば 関 連 付 けられている permit または deny ステートメントの 前 に 付 く remark と 後 ろに 付 く remark が 混 在 していると わかりにくくなってしまいます IP 番 号 付 き 標 準 ACL または IP 番 号 付 き 拡 張 ACL にコメントを 付 けるには access-list access-list number remark remark グローバル コンフィギュレーション コマンドを 使 用 します remark を 削 除 す るには このコマンドの no 形 式 を 使 用 します 次 の 例 では Jones のワークステーションのアクセスは 許 可 され Smith のワークステーションのアク セスは 許 可 されません Switch(config)# access-list 1 remark Permit only Jones workstation through Switch(config)# access-list 1 permit 171.69.2.88 Switch(config)# access-list 1 remark Do not allow Smith through Switch(config)# access-list 1 deny 171.69.3.13 名 前 付 き IP ACL 内 のエントリには remark アクセスリスト コンフィギュレーション コマンドを 使 用 します remark を 削 除 するには このコマンドの no 形 式 を 使 用 します 次 の 例 では Jones のサブネットによる 発 信 Telnet の 使 用 が 許 可 されません Switch(config)# ip access-list extended telnetting Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out Switch(config-ext-nacl)# deny tcp host 171.69.2.88 any eq telnet 38-19

IPv4 ACL の 設 定 第 38 章 端 末 回 線 への IPv4 ACL の 適 用 番 号 付 き ACL を 使 用 すると 1 つまたは 複 数 の 端 末 回 線 へのアクセスを 制 御 できます 名 前 付 き ACL は 回 線 に 適 用 できません ユーザはどの 仮 想 端 末 回 線 にも 接 続 を 試 行 できるため すべての 仮 想 端 末 回 線 に 同 一 の 制 限 を 設 定 する 必 要 があります ACL をインターフェイスに 適 用 する 手 順 については インターフェイスへの IPv4 ACL の 適 用 (P.38-20)を 参 照 してください ACL を VLAN に 適 用 する 方 法 については VLAN マップの 設 定 (P.38-31)を 参 照 してください 仮 想 端 末 回 線 と ACL 内 のアドレス 間 の 着 信 および 発 信 接 続 を 制 限 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 line [console vty] line-number 設 定 する 特 定 の 回 線 を 指 定 し インライン コンフィギュレーション モード を 開 始 します ステップ 3 access-class access-list-number {in out} ステップ 4 end 特 権 EXEC モードに 戻 ります console:コンソール 端 末 回 線 を 指 定 します コンソール ポートは DCE です vty:リモート コンソール アクセス 用 の 仮 想 端 末 を 指 定 します line-number には 回 線 タイプの 指 定 時 に 設 定 する 連 続 グループ 内 で 最 初 の 回 線 番 号 が 入 ります 指 定 できる 範 囲 は 0 ~ 16 です 特 定 の( 装 置 に 対 する) 仮 想 端 末 回 線 とアクセス リスト 内 のアドレス 間 の 着 信 および 発 信 接 続 を 制 限 します ステップ 5 show running-config アクセス リスト コンフィギュレーションを 表 示 します ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 端 末 回 線 から ACL を 削 除 するには no access-class access-list-number {in out} ライン コンフィギュ レーション コマンドを 使 用 します インターフェイスへの IPv4 ACL の 適 用 次 の 注 意 事 項 を 確 認 してください レイヤ 2 ポートには 着 信 方 向 にだけ ACL を 適 用 してください レイヤ 3 インターフェイスでは 発 信 側 または 着 信 側 のいずれかに ACL を 適 用 してください インターフェイスへのアクセスを 制 御 する 場 合 は 名 前 付 きまたは 番 号 付 き ACL を 使 用 できます ACL を VLAN のメンバーであるポートに 適 用 した 場 合 ポート ACL の 方 が VLAN インターフェ イスに 適 用 された ACL より 優 先 されます VLAN のメンバーになっているレイヤ 2 インターフェイスに ACL を 適 用 すると レイヤ 2(ポー ト)ACL は VLAN インターフェイスに 適 用 された 入 力 レイヤ 3 ACL や VLAN に 適 用 された VLAN マップよりも 優 先 されます ポート ACL は レイヤ 2 ポートで 受 信 した 着 信 パケットを 常 にフィルタリングします 38-20

第 38 章 IPv4 ACL の 設 定 ルーティングがイネーブルでない 状 態 で レイヤ 3 インターフェイスに ACL を 適 用 すると CPU 宛 てのパケット(SNMP Telnet Web トラフィックなど)だけがこの ACL によってフィルタリ ングされます ACL をレイヤ 2 インターフェイスに 適 用 する 場 合 ルーティングをイネーブルに する 必 要 はありません プライベート VLAN が 設 定 されている 場 合 は ルータ ACL はプライマリ VLAN SVI にだけ 適 用 できます ACL はプライマリ VLAN およびセカンダリ VLAN のレイヤ 3 トラフィックに 適 用 さ れます ( 注 ) パケットがアクセス グループによって 拒 否 された 場 合 デフォルトでルータがインターネット 制 御 メッセージ プロトコル(ICMP) 到 達 不 能 メッセージを 送 信 します アクセス グループによって 拒 否 されたパケットはハードウェアで 廃 棄 されるのではなく ICMP 到 達 不 能 メッセージを 生 成 できるよう にスイッチの CPU にブリッジされます インターフェイスへのアクセスを 制 御 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 interface interface-id 設 定 対 象 となる 特 定 のインターフェイスを 指 定 し インターフェイス コン フィギュレーション モードを 開 始 します インターフェイスには レイヤ 2 インターフェイス(ポート ACL)また はレイヤ 3 インターフェイス(ルータ ACL)を 指 定 できます ステップ 3 ip access-group {access-list-number name} {in out} 指 定 のインターフェイス 宛 てのアクセスを 制 御 します ステップ 4 end 特 権 EXEC モードに 戻 ります out キーワードはレイヤ 2 インターフェイス(ポート ACL)ではサポート されません ステップ 5 show running-config アクセス リスト コンフィギュレーションを 表 示 します ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 指 定 のアクセス グループを 削 除 するには no ip access-group {access-list-number name} {in out} インターフェイス コンフィギュレーション コマンドを 使 用 します 次 に ポートにアクセス リスト 2 を 適 用 して このポートに 着 信 するパケットをフィルタリングする 例 を 示 します Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 2 in ( 注 ) ip access-group インターフェイス コンフィギュレーション コマンドをレイヤ 3 インターフェイス (SVI レイヤ 3 EtherChannel またはルーテッド ポート)に 適 用 する 場 合 は インターフェイスが IP アドレスで 設 定 されている 必 要 があります レイヤ 3 アクセス グループは CPU 上 のレイヤ 3 プロセ スによってルーティングまたは 受 信 されるパケットをフィルタリングします VLAN 内 でブリッジさ れるパケットには 影 響 しません 着 信 ACL では スイッチは パケットを 受 信 すると ACL と 照 合 することでそのパケットを 確 認 しま す ACL がパケットを 許 可 する 場 合 スイッチはパケットの 処 理 を 続 行 します ACL がパケットを 拒 否 する 場 合 スイッチはパケットを 廃 棄 します 38-21

IPv4 ACL の 設 定 第 38 章 発 信 ACL では スイッチは パケットを 受 信 してそれを 制 御 されたインターフェイスへ 送 信 したあ と ACL と 照 合 することでそのパケットを 確 認 します ACL がパケットを 許 可 する 場 合 スイッチは パケットを 送 信 します ACL がパケットを 拒 否 する 場 合 スイッチはパケットを 廃 棄 します パケットが 入 力 インターフェイス 上 の ACL によって 廃 棄 されたか 出 力 インターフェイス 上 の ACL に よって 廃 棄 されたかに 関 係 なく パケットが 廃 棄 されるたびに デフォルトで 入 力 インターフェイスが ICMP 到 達 不 能 メッセージを 送 信 します ICMP 到 達 不 能 メッセージは 通 常 入 力 インターフェイスあ たり 1/2 秒 につき 1 つまでに 制 限 されていますが ip icmp rate-limit unreachable グローバル コン フィギュレーション コマンドを 使 用 すると これを 変 更 できます 未 定 義 の ACL をインターフェイスに 適 用 すると スイッチはその ACL がインターフェイスに 適 用 さ れていないかのように 動 作 し すべてのパケットを 許 可 します ネットワーク セキュリティ 用 に 未 定 義 の ACL を 使 用 する 場 合 は この 動 作 に 注 意 してください IP ACL のハードウェアおよびソフトウェアの 処 理 ACL 処 理 は 主 にハードウェアで 行 われますが ソフトウェア 処 理 のために 一 部 のトラフィック フロー を CPU に 転 送 する 必 要 があります ハードウェアが ACL 設 定 の 格 納 容 量 に 達 すると パケットが 転 送 のために CPU に 送 信 されます ソフトウェア 転 送 トラフィックの 転 送 レートは ハードウェア 転 送 トラフィックに 比 べると 大 幅 に 小 さくなります ( 注 ) スイッチがリソース 不 足 状 態 になっているためにハードウェアで ACL 設 定 を 実 装 できない 場 合 は そ のスイッチに 到 着 する 対 象 VLAN 内 のトラフィックだけが 影 響 を 受 けます(ソフトウェアで 転 送 され ます) パケットのソフトウェア 転 送 で 消 費 される CPU サイクル 数 によっては スイッチのパフォー マンスが 低 下 する 可 能 性 があります ルータ ACL の 場 合 は 次 のような 他 の 要 因 によってパケットが CPU に 送 信 される 可 能 性 があります log キーワードの 使 用 ICMP 到 達 不 能 メッセージの 生 成 トラフィック フローの 記 録 と 転 送 の 両 方 が 行 われる 場 合 転 送 はハードウェアによって 行 われますが 記 録 はソフトウェアによって 行 う 必 要 があります ハードウェアとソフトウェアのパケット 処 理 能 力 は 異 なるため 記 録 される 全 フロー( 許 可 フローと 拒 否 フローの 両 方 )の 合 計 の 帯 域 幅 がかなり 大 きい 場 合 は 転 送 されるパケットの 一 部 を 記 録 できない 可 能 性 があります ルータ ACL の 設 定 をハードウェアで 適 用 できない 場 合 ルーティングする 必 要 のある VLAN に 着 信 するパケットはソフトウェアではルーティングされますが ハードウェアではブリッジされます ACL によって 大 量 のパケットが CPU に 送 信 される 場 合 は スイッチ パフォーマンスが 低 下 する 可 能 性 があります show ip access-lists 特 権 EXEC コマンドの 出 力 に 表 示 されるマッチ カウントは ハードウェアでアク セス 制 御 されるパケットに 対 応 しません スイッチド パケットおよびルーテッド パケットの 基 本 的 な ハードウェア ACL 統 計 情 報 を 取 得 するには show access-lists hardware counters 特 権 EXEC コマン ドを 使 用 します 38-22

第 38 章 IPv4 ACL の 設 定 ACL のトラブルシューティング 次 の ACL マネージャ メッセージが 表 示 され [chars] がアクセスリスト 名 の 場 合 ACLMGR-2-NOVMR: Cannot generate hardware representation of access list [chars] スイッチには ACL のハードウェア 表 現 を 作 成 するためのリソースが 不 足 していることになります リ ソースにはハードウェア メモリやラベル スペースが 含 まれますが CPU メモリは 含 まれません この 問 題 は 使 用 可 能 な 論 理 演 算 ユニットまたは 専 用 のハードウェア リソースの 不 足 が 原 因 と 考 えられま す 論 理 演 算 ユニットは TCP フラグの 一 致 または TCP UDP SCTP ポート 番 号 での eq 以 外 (ne gt lt range)のテストで 必 要 です 次 のいずれかの 回 避 策 を 実 行 してください ACL 設 定 を 変 更 して 使 用 するリソースを 減 らします ACL 名 または 番 号 よりも 英 数 字 順 で 先 に 表 示 される 名 前 または 番 号 に ACL の 名 前 を 変 更 します 特 殊 なハードウェア リソースを 判 別 するには show platform layer4 acl map 特 権 EXEC コマンドを を 入 力 します スイッチに 使 用 可 能 なリソースがない 場 合 の 出 力 には インデックス 0 ~ インデック ス 15 が 使 用 可 能 でないことが 示 されます リソースが 不 十 分 な 状 態 での ACL の 設 定 の 詳 細 については Bug Toolkit の CSCsq63926 を 参 照 して ください たとえば 次 の ACL をインターフェイスに 適 用 した 場 合 で permit tcp source source-wildcard destination destination-wildcard range 5 60 permit tcp source source-wildcard destination destination-wildcard range 15 160 permit tcp source source-wildcard destination destination-wildcard range 115 1660 permit tcp source source-wildcard destination destination-wildcard なおかつ 次 のメッセージが 表 示 された 場 合 は ACLMGR-2-NOVMR: Cannot generate hardware representation of access list [chars] フラグ 関 連 の 演 算 子 が 使 用 できないことになります この 問 題 を 回 避 するには 次 のようにします ip access-list resequence グローバル コンフィギュレーション コマンドを 使 用 して 4 番 めの ACE を 最 初 の ACE の 前 に 移 動 します permit tcp source source-wildcard destination destination-wildcard permit tcp source source-wildcard destination destination-wildcard range 5 60 permit tcp source source-wildcard destination destination-wildcard range 15 160 permit tcp source source-wildcard destination destination-wildcard range 115 1660 または 他 の ACL よりも 英 数 字 順 で 先 に 表 示 される 名 前 または 番 号 に ACL の 名 前 を 変 更 します(たとえ ば ACL 79 から ACL 1 に 変 更 します) これで ACL 内 の 最 初 の ACE をインターフェイスに 適 用 できます スイッチはこの ACE を Opselect インデックス 内 の 使 用 可 能 なマッピング ビットに 割 り 当 てたあと フラグ 関 連 の 演 算 子 を 割 り 当 てて Ternary Content Addressable Memory(TCAM; 三 値 連 想 メモリ) 内 の 同 じビットを 使 用 します ルータ ACL は 次 のように 機 能 します ハードウェアは 標 準 および 拡 張 ACL( 入 力 および 出 力 )の 許 可 アクションと 拒 否 アクションを 制 御 して セキュリティ アクセス 制 御 を 実 現 します log が 指 定 されていない 場 合 セキュリティ ACL 内 の deny ステートメントに 一 致 するフローは ハードウェアによって 廃 棄 されます(ip unreachables がディセーブルに 設 定 されている 場 合 ) permit ステートメントと 一 致 するフローは ハードウェアでスイッチングされます 38-23

IPv4 ACL の 設 定 第 38 章 ルータ ACL 内 の ACE に log キーワードを 追 加 すると ロギングだけの 目 的 でパケットのコピーが CPU に 送 信 されます ACE が permit ステートメントの 場 合 でも パケットはハードウェアでス イッチングおよびルーティングされます IPv4 ACL の 設 定 例 ここでは IPv4 ACL の 設 定 例 と 適 用 例 を 示 します ACL のコンパイルの 詳 細 については Cisco IOS Security Configuration Guide, Release 12.2 お よ び Cisco IOS IP Configuration Guide, Release 12.2 にある IP Addressing and Services の Configuring IP Services を 参 照 してください 図 38-3 に サーバ A に 接 続 されたルーテッド ポート 2 と サーバ B に 接 続 されたルーテッド ポート 1 を 使 用 した 小 規 模 なネットワーク オフィス 環 境 を 示 します サーバ A には 全 従 業 員 がアクセスでき る 収 益 などの 情 報 が 格 納 されており サーバ B には 機 密 の 給 与 支 払 いデータが 格 納 されています サーバ A にはユーザ 全 員 がアクセスできますが サーバ B のアクセスは 制 限 されます ルータ ACL を 使 用 してこれを 実 現 するには 次 のいずれかの 方 法 を 用 います 標 準 ACL を 作 成 して ポート 1 からサーバに 着 信 するトラフィックをフィルタリングします 拡 張 ACL を 作 成 して サーバからポート 1 に 着 信 するトラフィックをフィルタリングします 図 38-3 ルータ ACL によるトラフィックの 制 御 A B 2 1 172.20.128.0 31 172.20.128.64 95 101354 次 に 標 準 ACL を 使 用 して ポートからサーバ B に 着 信 するトラフィックをフィルタリングし 経 理 部 の 送 信 元 アドレス 172.20.128.64 ~ 172.20.128.95 からのトラフィックだけを 許 可 する 例 を 示 します こ の ACL は 指 定 された 送 信 元 アドレスのルーテッド ポート 1 からのトラフィックに 適 用 されます Switch(config)# access-list 6 permit 172.20.128.64 0.0.0.31 Switch(config)# end Switch #show access-lists Standard IP access list 6 permit 172.20.128.64, wildcard bits 0.0.0.31 Switch(config)# interface gigabitethernet0/1 Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 6 out 38-24

第 38 章 IPv4 ACL の 設 定 次 に 拡 張 ACL を 使 用 して サーバ B からポートに 着 信 するトラフィックをフィルタリングし 任 意 の 送 信 元 アドレス(この 場 合 はサーバ B)から 経 理 部 の 宛 先 アドレス 172.20.128.64 ~ 172.20.128.95 へのトラフィックだけを 許 可 する 例 を 示 します この ACL はルーテッド ポート 1 へのトラフィックに 適 用 され 指 定 した 宛 先 アドレスに 送 信 されるトラフィックだけを 許 可 します 拡 張 ACL を 使 用 する 場 合 は 送 信 元 および 宛 先 情 報 の 前 にプロトコル(IP)を 入 力 する 必 要 があります Switch(config)# access-list 106 permit ip any 172.20.128.64 0.0.0.31 Switch(config)# end Switch #show access-lists Extended IP access list 106 permit ip any 172.20.128.64 0.0.0.31 Switch(config)# interface gigabitethernet0/1 Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 106 in 番 号 付 き ACL 次 の 例 のネットワーク 36.0.0.0 は 2 番 めのオクテットはサブネットを 指 定 するクラス A ネットワーク です つまり サブネット マスクは 255.255.0.0 です ネットワーク 36.0.0.0 のアドレスの 3 番 めと 4 番 めのオクテットは 特 定 のホストを 指 定 します スイッチは アクセス リスト 2 を 使 用 してサブ ネット 48 上 のアドレスを 1 つ 受 け 入 れ このサブネット 上 の 他 のアドレスはすべて 拒 否 します リス トの 最 後 の 行 は スイッチがネットワーク 36.0.0.0 の 他 のすべてのサブネット 上 のアドレスを 受 け 入 れることを 示 しています この ACL はポートに 着 信 するパケットに 適 用 されます Switch(config)# access-list 2 permit 36.48.0.3 Switch(config)# access-list 2 deny 36.48.0.0 0.0.255.255 Switch(config)# access-list 2 permit 36.0.0.0 0.255.255.255 Switch(config)# interface gigabitethernet0/1 Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 2 in 拡 張 ACL 次 の 例 の 最 初 の 行 は 1023 よりも 大 きい 宛 先 ポートへの 着 信 TCP 接 続 を 許 可 します 2 番 めの 行 は ホスト 128.88.1.2 のシンプル メール 転 送 プロトコル(SMTP)ポートへの 着 信 TCP 接 続 を 許 可 しま す 3 番 めの 行 は エラー フィードバック 用 の 着 信 ICMP メッセージを 許 可 します Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 gt 1023 Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25 Switch(config)# access-list 102 permit icmp any any Switch(config)# interface gigabitethernet0/1 Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 102 in この 例 で ネットワークがインターネットに 接 続 されている 状 態 で ネットワーク 上 の 任 意 のホストが インターネット 上 の 任 意 のホストと TCP 接 続 を 形 成 できるようにするとします ただし IP ホスト は 専 用 メール ホストのメール(SMTP)ポートを 除 き ネットワーク 上 のホストへの TCP 接 続 を 形 成 できないようにします SMTP は 接 続 の 一 端 では TCP ポート 25 を 使 用 し 他 端 ではランダムなポート 番 号 を 使 用 します 接 続 の 間 は 同 じポート 番 号 が 使 用 されます インターネットからの 着 信 メール パケットの 宛 先 ポート は 25 です 発 信 パケットでは ポート 番 号 が 逆 になります ネットワークのセキュア システムはポー ト 25 上 のメール 接 続 を 常 に 受 け 入 れるため 着 信 サービスと 発 信 サービスは 個 別 に 制 御 されます ACL は 発 信 インターフェイス 上 では 入 力 ACL として 設 定 し 着 信 インターフェイス 上 では 出 力 ACL として 設 定 する 必 要 があります 38-25

IPv4 ACL の 設 定 第 38 章 次 の 例 のネットワークはアドレス 128.88.0.0 のクラス B ネットワークであり メール ホスト アドレス は 128.88.1.2 です established キーワードは TCP だけに 使 用 され 確 立 された 接 続 を 示 します TCP データグラムに ACK または RST ビットが 設 定 されている 場 合 照 合 が 行 われ パケットが 既 存 の 接 続 に 属 していることを 示 します ギガビット イーサネット インターフェイス 1 は ルータをインター ネットに 接 続 するインターフェイスです Switch(config)# access-list 102 permit tcp any 128.88.0.0 0.0.255.255 established Switch(config)# access-list 102 permit tcp any host 128.88.1.2 eq 25 Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group 102 in 名 前 付 き ACL 次 に internet_filter という 名 前 の 標 準 ACL および marketing_group という 名 前 の 拡 張 ACL を 作 成 す る 例 を 示 します internet_filter ACL は 送 信 元 アドレス 1.2.3.4 からのトラフィックをすべて 許 可 し ます Switch(config)# ip access-list standard Internet_filter Switch(config-ext-nacl)# permit 1.2.3.4 Switch(config-ext-nacl)# exit marketing_group ACL は 宛 先 のアドレスおよびワイルドカード 171.69.0.0 0.0.255.255 への 任 意 の TCP Telnet トラフィックを 許 可 し それ 以 外 の TCP トラフィックをすべて 拒 否 します この ACL は ICMP トラフィックを 許 可 し 任 意 の 送 信 元 から 1024 より 小 さい 宛 先 ポートの 171.69.0.0 ~ 179.69.255.255 の 宛 先 アドレス 範 囲 への UDP トラフィックを 拒 否 し それ 以 外 の IP トラフィックを すべて 拒 否 して 結 果 のログを 表 示 します Switch(config)# ip access-list extended marketing_group Switch(config-ext-nacl)# permit tcp any 171.69.0.0 0.0.255.255 eq telnet Switch(config-ext-nacl)# deny tcp any any Switch(config-ext-nacl)# permit icmp any any Switch(config-ext-nacl)# deny udp any 171.69.0.0 0.0.255.255 lt 1024 Switch(config-ext-nacl)# deny ip any any log Switch(config-ext-nacl)# exit Internet_filter ACL は 発 信 トラフィックに 適 用 され marketing_group ACL はレイヤ 3 ポート 上 の 着 信 トラフィックに 適 用 されます Switch(config)# interface gigabitethernet1/1 Switch(config-if)# no switchport Switch(config-if)# ip address 2.0.5.1 255.255.255.0 Switch(config-if)# ip access-group Internet_filter out Switch(config-if)# ip access-group marketing_group in IP ACL に 適 用 される 時 間 範 囲 次 の 例 では 月 曜 日 から 金 曜 日 の 午 前 8 時 ~ 午 後 6 時 (18 時 )の 間 IP 上 の HTTP トラフィックを 拒 否 します この 例 では 土 曜 日 と 日 曜 日 の 正 午 ~ 午 後 8 時 (20 時 )の 間 だけ UDP トラフィックを 許 可 します Switch(config)# time-range no-http Switch(config)# periodic weekdays 8:00 to 18:00! Switch(config)# time-range udp-yes Switch(config)# periodic weekend 12:00 to 20:00! Switch(config)# ip access-list extended strict Switch(config-ext-nacl)# deny tcp any any eq www time-range no-http Switch(config-ext-nacl)# permit udp any any time-range udp-yes! 38-26

第 38 章 IPv4 ACL の 設 定 Switch(config-ext-nacl)# exit Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group strict in コメント 付 き IP ACL エントリ 次 の 例 の 番 号 付 き ACL では Jones のワークステーションのアクセスは 許 可 され Smith のワークス テーションのアクセスは 許 可 されません Switch(config)# access-list 1 remark Permit only Jones workstation through Switch(config)# access-list 1 permit 171.69.2.88 Switch(config)# access-list 1 remark Do not allow Smith workstation through Switch(config)# access-list 1 deny 171.69.3.13 次 の 例 の 番 号 付 き ACL では Winter および Smith のワークステーションでの Web 閲 覧 が 許 可 されま せん Switch(config)# access-list 100 remark Do not allow Winter to browse the web Switch(config)# access-list 100 deny host 171.69.3.85 any eq www Switch(config)# access-list 100 remark Do not allow Smith to browse the web Switch(config)# access-list 100 deny host 171.69.3.13 any eq www 次 の 例 の 名 前 付 き ACL では Jones のサブネットのアクセスが 許 可 されます Switch(config)# ip access-list standard prevention Switch(config-std-nacl)# remark Do not allow Jones subnet through Switch(config-std-nacl)# deny 171.69.0.0 0.0.255.255 次 の 例 の 名 前 付 き ACL では Jones のサブネットによる 発 信 Telnet の 使 用 が 許 可 されません Switch(config)# ip access-list extended telnetting Switch(config-ext-nacl)# remark Do not allow Jones subnet to telnet out Switch(config-ext-nacl)# deny tcp 171.69.0.0 0.0.255.255 any eq telnet ACL ロギング ルータ ACL では 2 種 類 のロギングがサポートされています log キーワードは エントリと 一 致 する パケットの 詳 細 を 示 すロギング メッセージをコンソールに 送 信 します log-input キーワードは ログ エントリに 入 力 インターフェイスを 含 めます 次 の 例 の 名 前 付 き 標 準 アクセス リスト stan1 は 10.1.1.0 0.0.0.255 からのトラフィックを 拒 否 し そ の 他 のすべての 送 信 元 からのトラフィックは 許 可 し log キーワードを 含 めます Switch(config)# ip access-list standard stan1 Switch(config-std-nacl)# deny 10.1.1.0 0.0.0.255 log Switch(config-std-nacl)# permit any log Switch(config-std-nacl)# exit Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group stan1 in Switch(config-if)# end Switch# show logging Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns) Console logging: level debugging, 37 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging, 37 messages logged File logging: disabled Trap logging: level debugging, 39 message lines logged Log Buffer (4096 bytes): 00:00:48: NTP: authentication delay calculation problems 38-27

名 前 付 き MAC 拡 張 ACL の 作 成 第 38 章 <output truncated> 00:09:34:%SEC-6-IPACCESSLOGS:list stan1 permitted 0.0.0.0 1 packet 00:09:59:%SEC-6-IPACCESSLOGS:list stan1 denied 10.1.1.15 1 packet 00:10:11:%SEC-6-IPACCESSLOGS:list stan1 permitted 0.0.0.0 1 packet 次 の 例 の 名 前 付 き 拡 張 アクセス リスト ext1 は 任 意 の 送 信 元 から 10.1.1.0 0.0.0.255 への ICMP パケッ トを 許 可 し UDP パケットはすべて 拒 否 します Switch(config)# ip access-list extended ext1 Switch(config-ext-nacl)# permit icmp any 10.1.1.0 0.0.0.255 log Switch(config-ext-nacl)# deny udp any any log Switch(config-std-nacl)# exit Switch(config)# interface gigabitethernet1/1 Switch(config-if)# ip access-group ext1 in 次 に 拡 張 ACL のログの 例 を 示 します 01:24:23:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 1 packet 01:25:14:%SEC-6-IPACCESSLOGDP:list ext1 permitted icmp 10.1.1.15 -> 10.1.1.61 (0/0), 7 packets 01:26:12:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 1 packet 01:31:33:%SEC-6-IPACCESSLOGP:list ext1 denied udp 0.0.0.0(0) -> 255.255.255.255(0), 8 packets IP ACL のロギング エントリはすべて %SEC-6-IPACCESSLOG で 始 まりますが ACL の 種 類 および 一 致 す るアクセス エントリによっては 形 式 が 若 干 異 なります 次 に log-input キーワードを 入 力 した 場 合 の 出 力 メッセージの 例 を 示 します 00:04:21:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 (Vlan1 0001.42ef.a400) -> 10.1.1.61 (0/0), 1 packet log キーワードを 使 用 した 同 じ 種 類 のパケットのログ メッセージには 入 力 インターフェイス 情 報 が 含 まれません 00:05:47:%SEC-6-IPACCESSLOGDP:list inputlog permitted icmp 10.1.1.10 -> 10.1.1.61 (0/0), 1 packet 名 前 付 き MAC 拡 張 ACL の 作 成 VLAN 上 またはレイヤ 2 インターフェイス 上 の 非 IPv4 トラフィックをフィルタリングするには MAC アドレスおよび 名 前 付 き MAC 拡 張 ACL を 使 用 します この 手 順 は 他 の 名 前 付 き 拡 張 ACL の 設 定 手 順 と 同 様 です ( 注 ) 名 前 付 き MAC 拡 張 ACL を レイヤ 3 インターフェイスに 適 用 できません mac access-list extended コマンドでサポートされる 非 IP プロトコルの 詳 細 については このリリー スのコマンド リファレンスを 参 照 してください ( 注 ) appletalk は コマンドラインのヘルプ ストリングには 表 示 されますが deny および permit MAC ア クセス リスト コンフィギュレーション モード コマンドの 一 致 条 件 としてはサポートされていません 38-28

第 38 章 名 前 付 き MAC 拡 張 ACL の 作 成 名 前 付 き MAC 拡 張 ACL を 作 成 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 mac access-list extended name 名 前 を 使 用 して 拡 張 MAC アクセス リストを 定 義 します ステップ 3 {deny permit} {any host source MAC address source MAC address mask} {any host destination MAC address destination MAC address mask} [type mask lsap lsap mask aarp amber dec-spanning decnet-iv diagnostic dsm etype-6000 etype-8042 lat lavc-sca mop-console mop-dump msdos mumps netbios vines-echo vines-ip xns-idp 0-65535] [cos cos] 拡 張 MAC アクセスリスト コンフィギュレーション モードで permit または deny を すべての(any) 送 信 元 MAC アドレス マスク 付 き 送 信 元 MAC アドレス または 特 定 の host 送 信 元 MAC アドレス およびすべての(any) 宛 先 MAC アドレス マ スク 付 き 宛 先 MAC アドレス または 特 定 の 宛 先 MAC アドレス に 指 定 します ( 任 意 ) 次 のオプションも 入 力 できます type mask:ethernet II または Subnetwork Access Protocol (SNAP; サブネットワーク アクセス プロトコル)でカプセル 化 されたパケットの 任 意 の EtherType 番 号 (10 進 数 16 進 数 または 8 進 数 ) 一 致 をテストする 前 に don't care ビット のマスクが EtherType に 任 意 で 適 用 されます lsap lsap mask:ieee 802.2 カプセル 化 を 使 用 したパケット の LSAP 番 号 (10 進 数 16 進 数 または 8 進 数 ) don't care ビットのマスクが 任 意 で 付 加 されます aarp amber dec-spanning decnet-iv diagnostic dsm etype-6000 etype-8042 lat lavc-sca mop-console mop-dump msdos mumps netbios vines-echo vines-ip xns-idp: 非 IP プロトコル cos cos:プライオリティの 設 定 に 使 用 する 0 ~ 7 の IEEE 802.1Q CoS 番 号 ステップ 4 end 特 権 EXEC モードに 戻 ります ステップ 5 show access-lists [number name] アクセス リスト コンフィギュレーションを 表 示 します ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します ACL 全 体 を 削 除 するには no mac access-list extended name グローバル コンフィギュレーション コ マンドを 使 用 します 名 前 付 き MAC 拡 張 ACL から 個 別 の ACE を 削 除 することもできます 次 に mac1 という 名 前 のアクセス リストを 作 成 および 表 示 して EtherType DECnet Phase IV トラ フィックだけを 拒 否 し それ 以 外 のタイプのトラフィックはすべて 許 可 する 例 を 示 します Switch(config)# mac access-list extended mac1 Switch(config-ext-macl)# deny any any decnet-iv Switch(config-ext-macl)# permit any any Switch(config-ext-macl)# end Switch # show access-lists Extended MAC access list mac1 10 deny any any decnet-iv 20 permit any any 38-29

名 前 付 き MAC 拡 張 ACL の 作 成 第 38 章 レイヤ 2 インターフェイスへの MAC ACL の 適 用 MAC ACL を 作 成 したら それをレイヤ 2 インターフェイスに 適 用 して このインターフェイスへの 非 IP トラフィックをフィルタリングできます MAC ACL の 適 用 時 は 次 の 注 意 事 項 を 考 慮 してくだ さい VLAN のメンバーになっているレイヤ 2 インターフェイスに ACL を 適 用 すると レイヤ 2(ポー ト)ACL は VLAN インターフェイスに 適 用 された 入 力 レイヤ 3 ACL や VLAN に 適 用 された VLAN マップよりも 優 先 されます レイヤ 2 ポート 上 で 受 信 した 着 信 パケットは 常 に そのポー ト ACL でフィルタリングされます 同 じレイヤ 2 インターフェイスには IP アクセス リストと MAC アクセス リストを 1 つずつしか 適 用 できません IP アクセス リストは IP パケットだけをフィルタリングし MAC アクセス リス トは 非 IP パケットをフィルタリングします 1 つのレイヤ 2 インターフェイスに 適 用 できる MAC アクセス リストは 1 つだけです MAC ACL が 設 定 されているレイヤ 2 インターフェイスに MAC アクセス リストを 適 用 すると 以 前 に 設 定 さ れていた ACL は 新 しい ACL で 置 換 されます MAC アクセス リストを 適 用 してレイヤ 2 インターフェイスへのアクセスを 制 御 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 interface interface-id 特 定 のインターフェイスを 指 定 し インターフェイス コンフィ ギュレーション モードを 開 始 します このインターフェイスは 物 理 レイヤ 2 インターフェイス(ポート ACL)を 指 定 する 必 要 が あります ステップ 3 mac access-group {name} {in} MAC アクセス リストを 使 用 して 指 定 のインターフェイス 宛 て のアクセスを 制 御 します ポート ACL は 着 信 方 向 でだけサポートされます ステップ 4 end 特 権 EXEC モードに 戻 ります ステップ 5 show mac access-group [interface interface-id] このインターフェイスまたはすべてのレイヤ 2 インターフェイス に 適 用 される MAC アクセス リストを 表 示 します ステップ 6 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します 指 定 のアクセス グループを 削 除 するには no mac access-group {name} インターフェイス コンフィ ギュレーション コマンドを 使 用 します 次 に ポートに MAC アクセス リスト mac1 を 適 用 して このポートに 着 信 するパケットをフィルタリ ングする 例 を 示 します Switch(config)# interface gigabitethernet1/1 Switch(config-if)# mac access-group mac1 in ( 注 ) mac access-group インターフェイス コンフィギュレーション コマンドは 物 理 レイヤ 2 インターフェイ スに 適 用 される 場 合 だけ 有 効 です EtherChannel ポート チャネルにはこのコマンドを 使 用 できません スイッチはパケットを 受 信 すると 着 信 ACL と 照 合 することでそのパケットを 確 認 します ACL がパ ケットを 許 可 する 場 合 スイッチはパケットの 処 理 を 続 行 します ACL がパケットを 拒 否 する 場 合 スイッチはパケットを 廃 棄 します 未 定 義 の ACL をインターフェイスに 適 用 すると スイッチはその ACL が 適 用 されていないかのように 動 作 し すべてのパケットを 許 可 します ネットワーク セキュリ ティ 用 に 未 定 義 の ACL を 使 用 する 場 合 は この 動 作 に 注 意 してください 38-30

第 38 章 VLAN マップの 設 定 VLAN マップの 設 定 ここでは VLAN マップの 設 定 する 方 法 を 説 明 します これは VLAN 内 のフィルタリングを 制 御 す る 唯 一 の 方 法 です VLAN マップには 方 向 の 指 定 がありません VLAN マップを 使 用 して 特 定 の 方 向 のトラフィックをフィルタリングするには 特 定 の 送 信 元 または 宛 先 アドレスの ACL を 含 める 必 要 が あります VLAN マップにそのパケット タイプ(IP または MAC)に 対 する match コマンドがある 場 合 デフォルトのアクションでは マップ 内 のどのエントリとも 一 致 しないパケットは 廃 棄 されます そのパケット タイプに 対 する match コマンドがない 場 合 デフォルトではパケットが 転 送 されます この 項 で 使 用 しているコマンドの 構 文 と 使 用 方 法 の 詳 細 については このリリースのコマンド リファ レンスを 参 照 してください VLAN マップを 作 成 し それを 1 つまたは 複 数 の VLAN に 適 用 するには 次 の 手 順 を 実 行 します ステップ 1 ステップ 2 ステップ 3 VLAN に 適 用 する 標 準 または 拡 張 IPv4 ACL または 名 前 付 き MAC 拡 張 ACL を 作 成 します 標 準 お よび 拡 張 IPv4 ACL の 作 成 (P.38-7)および VLAN マップの 作 成 (P.38-33)を 参 照 してください vlan access-map グローバル コンフィギュレーション コマンドを 入 力 して VLAN ACL マップ エン トリを 作 成 します アクセスマップ コンフィギュレーション モードでは 任 意 で action(forward(デフォルト)また は drop)を 入 力 します また match コマンドを 入 力 して ( 既 知 の MAC アドレスだけを 格 納 した) IP パケットまたは 非 IP パケットを 指 定 し このパケットを 1 つまたは 複 数 の ACL( 標 準 または 拡 張 ) と 照 合 します ( 注 ) VLAN マップが 特 定 のパケット タイプ(IP または MAC)に 対 する match コマンドで 設 定 されていて マップ アクションが drop の 場 合 は このタイプと 一 致 するパケットがすべて 廃 棄 されます VLAN マップに match コマンドがなく 設 定 されたアクションが drop の 場 合 は IP パケットとレイヤ 2 パ ケットがすべて 廃 棄 されます ステップ 4 vlan filter グローバル コンフィギュレーション コマンドは VLAN マップを 1 つまたは 複 数 の VLAN に 適 用 します ここでは 次 の 設 定 情 報 について 説 明 します VLAN マップ 設 定 時 の 注 意 事 項 (P.38-32) VLAN マップの 作 成 (P.38-33) VLAN への VLAN マップの 適 用 (P.38-35) ネットワークでの VLAN マップの 使 用 (P.38-36) 38-31

VLAN マップの 設 定 第 38 章 VLAN マップ 設 定 時 の 注 意 事 項 VLAN マップを 設 定 する 場 合 次 の 注 意 事 項 に 従 ってください インターフェイス 上 のトラフィックを 拒 否 するよう 設 定 された ACL がなく VLAN マップが 設 定 されていない 場 合 は すべてのトラフィックが 許 可 されます 各 VLAN マップは 一 連 のエントリで 構 成 されます VLAN マップ 内 のエントリの 順 序 は 重 要 で す スイッチに 着 信 したパケットは VLAN マップ 内 の 最 初 のエントリと 照 合 してテストされま す パケットが 一 致 する 場 合 は VLAN マップのその 部 分 に 対 して 指 定 されたアクションが 実 行 されます 一 致 しない 場 合 は パケットはマップ 内 の 次 のエントリと 照 合 してテストされます VLAN マップに 特 定 のパケット タイプ(IP または MAC)に 対 する match コマンドが 少 なくとも 1 つあり パケットがこれらの match コマンドのいずれとも 一 致 しない 場 合 デフォルトではその パケットが 廃 棄 されます VLAN マップ 内 にそのパケット タイプに 対 する match コマンドがない 場 合 デフォルトではパケットが 転 送 されます ACL が 多 数 設 定 されていると システムの 起 動 に 時 間 が 掛 かる 可 能 性 があります ロギングは VLAN マップではサポートされません スイッチが IP アクセス リストまたは MAC アクセス リストをレイヤ 2 インターフェイスに 適 用 さ せている 状 態 で ポートが 属 する VLAN に VLAN マップを 適 用 した 場 合 ポート ACL は VLAN マップよりも 優 先 されます VLAN マップの 設 定 をハードウェアで 適 用 できない 場 合 この VLAN 内 のすべてのパケットをソ フトウェアによってブリッジおよびルーティングする 必 要 があります プライマリ VLAN およびセカンダリ VLAN では VLAN マップを 設 定 できます ただし プライ ベート VLAN のプライマリ VLAN とセカンダリ VLAN には 同 じ VLAN マップを 設 定 すること を 推 奨 します フレームがプライベート VLAN 内 でレイヤ 2 転 送 される 場 合 入 力 側 と 出 力 側 で 同 じ VLAN マッ プが 適 用 されます フレームがプライベート VLAN の 内 側 から 外 部 ポートにルーティングされる 場 合 プライベート VLAN マップは 入 力 側 で 適 用 されます ホスト ポートからプロミスキャス ポートへのアップストリームで 送 信 されるフレームの 場 合 セカンダリ VLAN で 設 定 された VLAN マップが 適 用 されます プロミスキャス ポートからホスト ポートへのダウンストリームで 送 信 されるフレームの 場 合 プライマリ VLAN で 設 定 された VLAN マップが 適 用 されます プライベート VLAN の 特 定 の IP トラフィックをフィルタリングするには プライマリ VLAN と セカンダリ VLAN の 両 方 に VLAN マップを 適 用 する 必 要 があります プライベート VLAN の 詳 細 については 第 19 章 プライベート VLAN の 設 定 を 参 照 してください 設 定 例 については ネットワークでの VLAN マップの 使 用 (P.38-36)を 参 照 してください ルータ ACL と VLAN マップの 両 方 の 使 用 については VLAN マップおよびルータ ACL 設 定 時 の 注 意 事 項 (P.38-38)を 参 照 してください 38-32

第 38 章 VLAN マップの 設 定 VLAN マップの 作 成 各 VLAN マップは 順 序 指 定 された 一 連 のエントリで 構 成 されます VLAN マップ エントリの 作 成 追 加 削 除 を 行 うには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 vlan access-map name [number] VLAN マップを 作 成 し マップに 名 前 と( 任 意 で) 番 号 を 付 けます この 番 号 は マップ 内 のエントリのシーケンス 番 号 になります 同 じ 名 前 の VLAN マップを 作 成 すると 10 ずつ 増 加 する 番 号 が 順 に 割 り 当 てられます マップの 修 正 または 削 除 時 には 修 正 または 削 除 するマッ プ エントリの 番 号 を 入 力 できます このコマンドを 入 力 すると アクセスマップ コンフィギュレーション モードになります ステップ 3 action {drop forward} ( 任 意 )マップ エントリのアクションを 設 定 します デフォルトは forward です ステップ 4 match {ip mac} address {name number} [name number] (IP アドレスまたは MAC アドレスを 使 用 している)パケットを 1 つまた は 複 数 の 標 準 または 拡 張 アクセス リストと 照 合 します パケットは 正 しい プロトコル タイプのアクセス リストだけと 照 合 されます IP パケットは 標 準 または 拡 張 IP アクセス リストと 照 合 されます 非 IP パケットは 名 前 付 き MAC 拡 張 アクセス リストだけと 照 合 されます ステップ 5 end グローバル コンフィギュレーション モードに 戻 ります ステップ 6 show running-config アクセス リスト コンフィギュレーションを 表 示 します ステップ 7 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します マップを 削 除 するには no vlan access-map name グローバル コンフィギュレーション コマンドを 使 用 します マップ 内 から 1 つのシーケンス エントリを 削 除 するには no vlan access-map name number グローバル コンフィギュレーション コマンドを 使 用 します デフォルトのアクション(forward)を 適 用 するには no action アクセス マップ コンフィギュレー ション コマンドを 使 用 します VLAN マップでは 特 定 の permit キーワードや deny キーワードは 使 用 しません VLAN マップを 使 用 してパケットを 拒 否 するには そのパケットと 一 致 する ACL を 作 成 し アクションを drop に 設 定 します ACL 内 の permit は 一 致 と 見 なされます ACL 内 の deny は 不 一 致 と 見 なされます ACL および VLAN マップの 例 次 に 特 定 の 目 的 のための ACL および VLAN マップを 作 成 する 例 を 示 します 例 1 次 に パケットを 拒 否 する ACL および VLAN マップを 作 成 する 例 を 示 します 最 初 のマップでは ip1 ACL(TCP パケット)と 一 致 するパケットがすべて 廃 棄 されます 最 初 に 任 意 の TCP パケット を 許 可 し それ 以 外 のパケットをすべて 拒 否 する ip1acl を 作 成 します VLAN マップには IP パケッ トに 対 する match コマンドがあるため デフォルトのアクションでは どの match コマンドとも 一 致 しない IP パケットは 廃 棄 されます Switch(config)# ip access-list extended ip1 Switch(config-ext-nacl)# permit tcp any any 38-33

VLAN マップの 設 定 第 38 章 Switch(config-ext-nacl)# exit Switch(config)# vlan access-map map_1 10 Switch(config-access-map)# match ip address ip1 Switch(config-access-map)# action drop 次 に パケットを 許 可 する VLAN マップを 作 成 する 例 を 示 します ACL ip2 は UDP パケットを 許 可 し ip2 ACL と 一 致 するすべてのパケットが 転 送 されます このマップでは これまでのどの ACL と も 一 致 しなかった IP パケット(つまり TCP パケットでも UDP パケットでもないパケット)がすべ て 廃 棄 されます Switch(config)# ip access-list extended ip2 Switch(config-ext-nacl)# permit udp any any Switch(config-ext-nacl)# exit Switch(config)# vlan access-map map_1 20 Switch(config-access-map)# match ip address ip2 Switch(config-access-map)# action forward 例 2 次 の 例 の VLAN マップには IP パケットに 対 してデフォルトのアクション drop と MAC パケットに 対 してデフォルトのアクション forward が 設 定 されています このマップを 標 準 ACL 101 と 名 前 付 き 拡 張 アクセス リスト igmp-match および tcp-match とともに 使 用 すると 次 のような 結 果 になります UDP パケットはすべて 転 送 されます IGMP パケットはすべて 廃 棄 されます TCP パケットはすべて 転 送 されます その 他 の IP パケットはすべて 廃 棄 されます 非 IP パケットはすべて 転 送 されます Switch(config)# access-list 101 permit udp any any Switch(config)# ip access-list extended igmp-match Switch(config-ext-nacl)# permit igmp any any Switch(config)# ip access-list extended tcp-match Switch(config-ext-nacl)# permit tcp any any Switch(config-ext-nacl)# exit Switch(config)# vlan access-map drop-ip-default 10 Switch(config-access-map)# match ip address 101 Switch(config-access-map)# action forward Switch(config-access-map)# exit Switch(config)# vlan access-map drop-ip-default 20 Switch(config-access-map)# match ip address igmp-match Switch(config-access-map)# action drop Switch(config-access-map)# exit Switch(config)# vlan access-map drop-ip-default 30 Switch(config-access-map)# match ip address tcp-match Switch(config-access-map)# action forward 例 3 次 の 例 の VLAN マップには MAC パケットに 対 してデフォルトのアクション drop と IP パケットに 対 してデフォルトのアクション forward が 設 定 されています このマップを MAC 拡 張 アクセス リス ト good-hosts および good-protocols とともに 使 用 すると 次 のような 結 果 になります ホスト 0000.0c00.0111 および 0000.0c00.0211 からの MAC パケットは 転 送 されます decnet-iv または vines-ip プロトコルを 使 用 した MAC パケットは 転 送 されます その 他 の 非 IP パケットはすべて 廃 棄 されます IP パケットはすべて 転 送 されます 38-34

第 38 章 VLAN マップの 設 定 Switch(config)# mac access-list extended good-hosts Switch(config-ext-macl)# permit host 000.0c00.0111 any Switch(config-ext-macl)# permit host 000.0c00.0211 any Switch(config-ext-nacl)# exit Switch(config)# mac access-list extended good-protocols Switch(config-ext-macl)# permit any any decnet-ip Switch(config-ext-macl)# permit any any vines-ip Switch(config-ext-nacl)# exit Switch(config)# vlan access-map drop-mac-default 10 Switch(config-access-map)# match mac address good-hosts Switch(config-access-map)# action forward Switch(config-access-map)# exit Switch(config)# vlan access-map drop-mac-default 20 Switch(config-access-map)# match mac address good-protocols Switch(config-access-map)# action forward 例 4 次 の 例 の VLAN マップには すべてのパケット(IP および 非 IP)に 対 してデフォルトのアクション drop が 設 定 されています このマップを 例 2 および 3 のアクセス リスト tcp-match および good-hosts とともに 使 用 すると 次 のような 結 果 になります TCP パケットはすべて 転 送 されます ホスト 0000.0c00.0111 および 0000.0c00.0211 からの MAC パケットは 転 送 されます その 他 の IP パケットはすべて 廃 棄 されます その 他 の MAC パケットはすべて 廃 棄 されます Switch(config)# vlan access-map drop-all-default 10 Switch(config-access-map)# match ip address tcp-match Switch(config-access-map)# action forward Switch(config-access-map)# exit Switch(config)# vlan access-map drop-all-default 20 Switch(config-access-map)# match mac address good-hosts Switch(config-access-map)# action forward VLAN への VLAN マップの 適 用 VLAN マップを 1 つまたは 複 数 の VLAN に 適 用 するには 特 権 EXEC モードで 次 の 手 順 を 実 行 します コマンド 目 的 ステップ 1 configure terminal グローバル コンフィギュレーション モードを 開 始 します ステップ 2 vlan filter mapname vlan-list list VLAN マップを 1 つまたは 複 数 の VLAN ID に 適 用 します list には 単 一 の VLAN ID(22) 連 続 する 範 囲 (10-22) または VLAN ID のストリング(12, 22, 30)を 指 定 できます カンマやハイフンの 前 後 のスペースは 任 意 です ステップ 3 show running-config アクセス リスト コンフィギュレーションを 表 示 します ステップ 4 copy running-config startup-config ( 任 意 ) 設 定 をコンフィギュレーション ファイルに 保 存 します VLAN マップを 削 除 するには no vlan filter mapname vlan-list list グローバル コンフィギュレーショ ン コマンドを 使 用 します 次 に VLAN マップ 1 を VLAN 20 ~ 22 に 適 用 する 例 を 示 します Switch(config)# vlan filter map 1 vlan-list 20-22 38-35

VLAN マップの 設 定 第 38 章 ネットワークでの VLAN マップの 使 用 ここでは VLAN マップの 一 般 的 な 使 用 法 について 説 明 します 配 線 クローゼットの 設 定 (P.38-36) 別 の VLAN 上 のサーバへのアクセスの 拒 否 (P.38-37) 配 線 クローゼットの 設 定 配 線 クローゼットの 設 定 では スイッチ 上 でルーティングがイネーブルでない 可 能 性 があります この 設 定 でも スイッチは VLAN マップと QoS 分 類 ACL をサポートできます 図 38-4 では ホスト X とホスト Y が 異 なる VLAN 内 にあり 配 線 クローゼットのスイッチ A と C にそれぞれ 接 続 されてい ると 仮 定 します ホスト X からホスト Y へのトラフィックは 最 終 的 にスイッチ B(ルーティングがイ ネーブルになっているレイヤ 3 スイッチ)によってルーティングされます ホスト X からホスト Y へ のトラフィックは トラフィック エントリ ポイントであるスイッチ A でアクセス 制 御 できます 図 38-4 配 線 クローゼットの 設 定 B A C VLAN X Y HTTP HTTP VLAN 1 VLAN 2 X 10.1.1.32 Y 10.1.1.34 101355 HTTP トラフィックがホスト X からホスト Y にスイッチングされないようにするには ホスト X(IP アドレス 10.1.1.32)からホスト Y(IP アドレス 10.1.1.34)への HTTP トラフィックをスイッチ A で すべて 廃 棄 し トラフィックをスイッチ B にブリッジしないように スイッチ A 上 の VLAN マップを 設 定 できます まず HTTP ポート 上 で 任 意 の TCP トラフィックを 許 可 ( 一 致 )する IP アクセス リスト http を 定 義 します Switch(config)# ip access-list extended http Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www Switch(config-ext-nacl)# exit 次 に VLAN アクセス マップ map2 を 作 成 して http アクセス リストと 一 致 するトラフィックが 廃 棄 され その 他 の IP トラフィックはすべて 転 送 されるようにします Switch(config)# vlan access-map map2 10 Switch(config-access-map)# match ip address http 38-36

第 38 章 VLAN マップの 設 定 Switch(config-access-map)# action drop Switch(config-access-map)# exit Switch(config)# ip access-list extended match_all Switch(config-ext-nacl)# permit ip any any Switch(config-ext-nacl)# exit Switch(config)# vlan access-map map2 20 Switch(config-access-map)# match ip address match_all Switch(config-access-map)# action forward 次 に VLAN アクセス マップ map2 を VLAN 1 に 適 用 します Switch(config)# vlan filter map2 vlan 1 別 の VLAN 上 のサーバへのアクセスの 拒 否 別 の VLAN 上 のサーバへのアクセスを 制 限 できます たとえば VLAN 10 内 のサーバ 10.1.1.100 で は 次 のホストへのアクセスを 拒 否 する 必 要 があります( 図 38-5 を 参 照 ) VLAN 20 内 のサブネット 10.1.2.0/8 にあるホストがアクセスできないようにします VLAN 10 内 のホスト 10.1.1.4 および 10.1.1.8 がアクセスできないようにします 図 38-5 別 の VLAN 上 のサーバへのアクセスの 拒 否 VLAN 10.1.1.100 VLAN 10 10.1.2.0/8 10.1.1.4 VLAN 10 10.1.1.8 3 VLAN 20 VLAN 10 101356 次 に サブネット 10.1.2.0.8 内 のホスト ホスト 10.1.1.4 およびホスト 10.1.1.8 へのアクセスを 拒 否 し その 他 の IP トラフィックは 許 可 する VLAN マップ SERVER 1 を 作 成 して 別 の VLAN 上 のサー バへのアクセスを 拒 否 する 例 を 示 します 最 後 に マップ SERVER1 を VLAN 10 に 適 用 します ステップ 1 ステップ 2 正 しいパケットと 一 致 する IP ACL を 定 義 します Switch(config)# ip access-list extended SERVER1_ACL Switch(config-ext-nacl))# permit ip 10.1.2.0 0.0.0.255 host 10.1.1.100 Switch(config-ext-nacl))# permit ip host 10.1.1.4 host 10.1.1.100 Switch(config-ext-nacl))# permit ip host 10.1.1.8 host 10.1.1.100 Switch(config-ext-nacl))# exit この ACL を 使 用 して SERVER1_ACL と 一 致 する IP パケットを 廃 棄 し ACL と 一 致 しない IP パ ケットを 転 送 する VLAN マップを 定 義 します Switch(config)# vlan access-map SERVER1_MAP Switch(config-access-map)# match ip address SERVER1_ACL Switch(config-access-map)# action drop Switch(config)# vlan access-map SERVER1_MAP 20 38-37

VLAN マップとルータ ACL の 併 用 第 38 章 Switch(config-access-map)# action forward Switch(config-access-map)# exit ステップ 3 この VLAN マップを VLAN 10 に 適 用 します Switch(config)# vlan filter SERVER1_MAP vlan-list 10. VLAN マップとルータ ACL の 併 用 ブリッジド トラフィックとルーテッド トラフィックの 両 方 をアクセス 制 御 する 場 合 VLAN マップを 単 独 で 使 用 するか またはルータ ACL と VLAN マップを 組 み 合 わせて 使 用 します 入 力 と 出 力 の 両 方 のルーテッド VLAN インターフェイスでルータ ACL を 定 義 し ブリッジド トラフィックをアクセ ス 制 御 する VLAN マップを 定 義 できます パケット フローが ACL 内 の VLAN マップの deny コマンドと 一 致 する 場 合 は ルータ ACL の 設 定 に 関 係 なく パケット フローが 拒 否 されます ( 注 ) ルータ ACL と VLAN マップを 併 用 する 際 には ルータ ACL でのロギングの 必 要 があるパケットは VLAN マップで 拒 否 された 場 合 記 録 されません VLAN マップにパケット タイプ(IP または MAC)に 対 する match コマンドがあり パケットがその タイプと 一 致 しない 場 合 デフォルトではそのパケットが 廃 棄 されます VLAN マップに match コマ ンドがなく アクションが 指 定 されていない 状 態 で パケットがどの VLAN マップ エントリとも 一 致 しない 場 合 は そのパケットが 転 送 されます ここでは VLAN マップとルータ ACL の 併 用 について 説 明 します VLAN マップおよびルータ ACL 設 定 時 の 注 意 事 項 (P.38-38) VLAN に 適 用 されたルータ ACL および VLAN マップの 例 (P.38-39) VLAN マップおよびルータ ACL 設 定 時 の 注 意 事 項 次 の 注 意 事 項 は 同 じ VLAN 上 でルータ ACL および VLAN マップを 使 用 する 必 要 がある 設 定 に 適 用 されます これらの 注 意 事 項 は ルータ ACL と VLAN マップを 異 なる VLAN 上 にマッピングする 設 定 には 適 用 されません スイッチのハードウェアには 方 向 ( 入 力 および 出 力 )ごとにセキュリティ ACL を 1 回 検 索 します このため ルータ ACL と VLAN マップが 同 じ VLAN 上 で 設 定 されている 場 合 は これらを 結 合 する 必 要 があります ルータ ACL と VLAN マップを 結 合 すると ACE の 数 が 大 幅 に 増 える 可 能 性 があり ます ルータ ACL と VLAN マップを 同 じ VLAN 上 に 設 定 する 必 要 がある 場 合 は ルータ ACL と VLAN マップの 両 方 の 設 定 について 次 の 注 意 事 項 があります VLAN インターフェイス 上 の 各 方 向 ( 入 力 および 出 力 )に VLAN マップおよびルータの ACL を 1 つずつだけ 設 定 できます タイプが 異 なる 場 合 の 末 尾 のデフォルト アクションを 除 き すべてのエントリのアクションを 可 能 な 限 り 単 一 にして ACL を 記 述 するようにします つまり 次 のいずれかの 形 式 を 使 用 して ACL を 記 述 します 38-38

第 38 章 VLAN マップとルータ ACL の 併 用 permit... permit... permit... deny ip any any または deny... deny... deny... permit ip any any ACL で 複 数 のアクション(permit deny)を 定 義 する 場 合 は エントリ 数 を 減 らすために アク ション タイプごとにグループ 化 します レイヤ 4 情 報 を ACL に 含 めないようにします この 情 報 を 加 えると 結 合 処 理 が 複 雑 になります 完 全 なフロー( 送 信 元 IP アドレス 宛 先 IP アドレス プロトコル およびプロトコル ポート)で はなく IP アドレス( 送 信 元 および 宛 先 )に 基 づいて ACL をフィルタリングすると 最 適 な 結 合 結 果 が 得 られます 可 能 な 限 り IP アドレス 内 に don't care ビットを 使 用 するのも 効 果 的 です full-flow モードを 指 定 する 必 要 があり ACL に IP ACE とレイヤ 4 情 報 を 持 つ TCP/UDP/ICMP ACE の 両 方 が 含 まれている 場 合 は レイヤ 4 ACE をリストの 末 尾 に 置 きます これにより IP ア ドレスに 基 づくトラフィックのフィルタリングが 優 先 されます VLAN に 適 用 されたルータ ACL および VLAN マップの 例 ここでは スイッチド パケット ブリッジド パケット ルーテッド パケット およびマルチキャスト パケットを 対 象 に ルータ ACL と VLAN マップを VLAN に 適 用 する 例 を 示 します 次 の 各 図 はパ ケットが 宛 先 に 転 送 される 様 子 を 示 していますが パケットのパスが VLAN マップまたは ACL を 示 す 線 を 通 過 するたびに パケットが 転 送 されずに 廃 棄 される 可 能 性 もあります ACL およびスイッチド パケット 図 38-6 に VLAN 内 でスイッチングされるパケットに ACL を 適 用 する 方 法 を 示 します フォール バック ブリッジングによってルーティングまたは 転 送 されずに VLAN 内 でスイッチングされるパケッ トには 入 力 VLAN の VLAN マップだけが 適 用 されます 38-39

VLAN マップとルータ ACL の 併 用 第 38 章 図 38-6 スイッチド パケットへの ACL の 適 用 VLAN 10 ACL ACL VLAN 20 A VLAN 10 C VLAN 10 VLAN 10 VLAN 20 101357 ACL およびブリッジド パケット 図 38-7 に フォールバック ブリッジド パケットに ACL を 適 用 する 方 法 を 示 します ブリッジド パ ケットの 場 合 は レイヤ 2 ACL だけが 入 力 VLAN に 適 用 されます フォールバック ブリッジングが 可 能 なのは 非 IP の 非 ARP パケットだけです 図 38-7 ブリッジド パケットへの ACL の 適 用 VLAN 10 VLAN 20 A VLAN 10 B VLAN 20 VLAN 10 VLAN 20 101358 38-40

第 38 章 VLAN マップとルータ ACL の 併 用 ACL およびルーテッド パケット 図 38-8 に ルーテッド パケットに ACL を 適 用 する 方 法 を 示 します ルーテッド パケットの 場 合 は 次 の 順 序 で ACL が 適 用 されます 1. 入 力 VLAN 用 VLAN マップ 2. 入 力 ルータ ACL 3. 出 力 ルータ ACL 4. 出 力 VLAN 用 VLAN マップ 図 38-8 ルーテッド パケットへの ACL の 適 用 VLAN 10 ACL ACL VLAN 20 A VLAN 10 B VLAN 20 VLAN 10 VLAN 20 101359 ACL およびマルチキャスト パケット 図 38-9 に IP マルチキャスト 用 に 複 製 されるパケットに ACL を 適 用 する 方 法 を 示 します ルーティ ングされるマルチキャスト パケットには 2 つの 異 なる 種 類 のフィルタが 適 用 されます 1 つは 入 力 VLAN 内 の 他 のポートである 宛 先 用 のフィルタで もう 1 つはパケットのルーティング 先 となった 他 の VLAN 内 の 宛 先 用 のフィルタです このパケットは 複 数 の 出 力 VLAN にルーティングされる 可 能 性 が あります この 場 合 それぞれの 宛 先 VLAN に 異 なるルータ 出 力 ACL と VLAN マップが 適 用 されます 最 終 的 な 結 果 としては 一 部 の 出 力 VLAN ではパケットが 許 可 され 他 の VLAN では 拒 否 される 場 合 もあります 許 可 された 宛 先 には パケットのコピーが 転 送 されます ただし 入 力 VLAN マップ ( 図 38-9 の VLAN 10)がパケットを 廃 棄 した 場 合 は どの 宛 先 もパケットのコピーを 受 信 しません 38-41

IPv4 ACL 設 定 の 表 示 第 38 章 図 38-9 マルチキャスト パケットへの ACL の 適 用 VLAN 10 ACL ACL VLAN 20 A VLAN 10 B VLAN 20 C VLAN 10 VLAN 10 VLAN 20 101360 IPv4 ACL 設 定 の 表 示 スイッチ 上 で 設 定 された ACL や インターフェイスおよび VLAN に 適 用 されている ACL を 表 示 する ことができます ip access-group インターフェイス コンフィギュレーション コマンドを 使 用 して ACL をレイヤ 2 また はレイヤ 3 インターフェイスに 適 用 した 場 合 は インターフェイス 上 のアクセス グループを 表 示 でき ます また レイヤ 2 インターフェイスに 適 用 された MAC ACL を 表 示 することもできます この 情 報 を 表 示 するには 表 38-2 に 示 す 各 特 権 EXEC コマンドを 使 用 します 表 38-2 アクセス リストおよびアクセス グループを 表 示 するためのコマンド コマンド show access-lists [number name] show ip access-lists [number name] show ip interface interface-id show running-config [interface interface-id] show mac access-group [interface interface-id] 目 的 現 在 の IP および MAC アドレス アクセス リスト(1 つまたはすべて) または 特 定 のアクセス リスト( 番 号 付 きまたは 名 前 付 き)の 内 容 を 表 示 します 現 在 のすべての IP アクセス リスト または 特 定 の IP アクセス リスト ( 番 号 付 きまたは 名 前 付 き)の 内 容 を 表 示 します インターフェイスの 詳 細 な 設 定 およびステータスを 表 示 します イン ターフェイス 上 で IP がイネーブルになっていて ACL が ip access-group インターフェイス コンフィギュレーション コマンドによっ て 適 用 されている 場 合 は アクセス グループも 表 示 されます スイッチまたは 指 定 したインターフェイスのコンフィギュレーション ファイルの 内 容 を 表 示 します 設 定 されたすべての MAC および IP アク セス リストや インターフェイスに 適 用 されているアクセス グループな どが 表 示 されます すべてのレイヤ 2 インターフェイスまたは 指 定 したレイヤ 2 インターフェ イスに 適 用 されている MAC アクセス リストを 表 示 します 38-42

第 38 章 IPv4 ACL 設 定 の 表 示 また VLAN アクセス マップまたは VLAN フィルタ に 関 する 情 報 も 表 示 できます VLAN マップ 情 報 を 表 示 するには 表 38-3 に 示 す 各 特 権 EXEC コマンドを 使 用 します 表 38-3 VLAN マップ 情 報 を 表 示 するためのコマンド コマンド show vlan access-map [mapname] show vlan filter [access-map name vlan vlan-id] 目 的 すべての VLAN アクセス マップまたは 指 定 されたアクセス マップに 関 する 情 報 を 表 示 します すべての VLAN フィルタに 関 する 情 報 や 指 定 された VLAN または VLAN アクセス マップに 関 する 情 報 を 表 示 し ます 38-43

IPv4 ACL 設 定 の 表 示 第 38 章 38-44