QuantaMesh ACL 基 本 設 定 Ver. 1.00 2 0 1 4 年 1 0 月 1 6 日 株 式 会 社 ネ ッ ト ワ ー ル ド S I 技 術 本 部 イ ン フ ラ ソ リ ュ ー シ ョ ン 技 術 部
目 次 1 改 訂 履 歴... 3 2 はじめに... 4 3 L2 ACL 基 本 設 定... 5 3.1 L2 ACL の 作 成... 5 3.2 L2 ACL のインタフェースまたは VLAN への 適 用... 5 3.3 L2 ACL の 設 定 の 確 認... 5 4 L3 ACL 基 本 設 定... 7 4.1 標 準 L3 ACL の 作 成... 7 4.2 拡 張 L3 ACL の 設 定... 7 4.3 名 前 つき L3 ACL の 設 定... 7 4.4 ACL 名 の 変 更... 8 4.5 インタフェースまたは VLAN への L3 ACL の 適 用... 8 4.6 L3 ACL の 設 定 の 確 認... 8 5 L4 ACL の 設 定... 10 5.1 拡 張 L4 ACL の 設 定... 10 5.2 名 前 つき L4 ACL の 設 定... 10 5.3 インタフェースまたは VLAN への L4 ACL の 適 用... 10 5.4 L4 ACL の 設 定 の 確 認... 10 2
1 改 訂 履 歴 変 更 履 歴 番 号 変 更 年 月 日 Version Page Status 変 更 内 容 作 成 承 認 1 2014/10/16 1.0 新 規 作 成 NSG NSG 2 3 4 5 status: a(dd), d(elete), r(eplace), o(ther) マニュアルの 取 り 扱 いについて 本 書 の 記 載 内 容 の 一 部 または 全 部 を 無 断 で 転 載 することを 禁 じます 本 書 の 記 載 内 容 は 将 来 予 告 無 く 変 更 されることがあります 本 書 を 使 用 した 結 果 発 生 した 情 報 の 消 失 等 の 損 失 については 責 任 を 負 いかねます 本 書 の 設 定 内 容 についてのお 問 い 合 わせは 受 け 付 けておりませんのでご 了 承 ください 本 書 の 記 載 内 容 は 動 作 を 保 証 するものではございません 従 いましてお 客 様 への 導 入 時 には 必 ず 事 前 に 検 証 を 実 施 してください Networldテクニカルサポート Quanta FAQ Quanta 製 品 に 関 するよくある 問 い 合 わせ http://www.networld.co.jp/quanta/faq.htm 3
2 はじめに 本 手 順 書 は QuantaMesh イーサネットスイッチを 利 用 する 上 での 基 本 的 な Access Control List (ACL) の 設 定 について 説 明 した 資 料 になります プロンプトの 表 記 # 特 権 モード (config)# グローバルコンフィグモード (Interface slot/port)# インタフェースコンフィグモード (Config-mac-access-list)# L2 (MAC) ACL モード (Config-ipv4-acl)# 名 前 つき ACL モード コマンドの 表 記 < > 英 数 字 によるパラメータの 入 力 { } 設 定 値 の 選 択 対 象 製 品 1000 シリーズ 1048-LY4 1048-LB9 3000 シリーズ 3040-LY3 3048-LY2R 5000 シリーズ 5032-LY6 4
3 L2 ACL 基 本 設 定 L2 ACL は 送 信 元 宛 先 MAC アドレスによるレイヤ 2 でのパケットフィルタリングを 行 う ACL です 3.1 L2 ACL の 作 成 L2 ACL の 作 成 はグローバルコンフィグモードで 以 下 の 設 定 を 行 います (Config)#mac access-list extended <name> (Config-mac-access-list)#{deny permit} <src mac> <src mask> <dst mac> <dst mask> <rule-id> <rule-id> : エントリーに 割 り 当 てる 番 号 この 番 号 順 にルールが 処 理 されます 特 定 の 送 信 元 MAC アドレスを 含 むパケットを 不 許 可 とし それ 以 外 は 許 可 とする L2 ACL (Config)#mac access-list extended l2test (Config-mac-access-list)#deny xx:xx:xx:xx:xx:xx 00:00:00:00:00:00 any log (Config-mac-access-list)#permit any any 3.2 L2 ACL のインタフェースまたは VLAN への 適 用 L2 ACL のインタフェースへの 適 用 は 対 象 のインタフェースのコンフィグコードで 以 下 の 設 定 を 行 います (Interface slot/port)# mac access-group <name> {in out} L2 ACL を VLAN に 対 して 適 用 する 場 合 は グローバルコンフィグモードにおいて 以 下 の 設 定 を 行 います (Config)# mac access-group <name> [vlan <vlan-id>] {in out} インタフェース 0/1 への inbound での L2 ACL 適 用 (Interface 0/1)#mac access-group l2test in VLAN 100 への L2 ACL 適 用 (Config)#mac access-group l2test vlan 100 in 3.3 L2 ACL の 設 定 の 確 認 L2 ACL の 設 定 確 認 は 以 下 のコマンドで 行 います #show mac access-lists 実 行 例 5
#show mac access-lists Current number of all ACLs: 1 Maximum number of all ACLs: 100 MAC ACL Name Rules Direction Interface(s) VLAN(s) ------------------------------- ----- --------- -------------- ---------- l2test 2 inbound 0/1 # show mac access-lists l2test ACL Name: l2test Inbound VLAN ID(s): 100 Rule Number: 10 Action... deny Source MAC Address... xx:xx:xx:xx:xx:xx Source MAC Mask... 00:00:00:00:00:00 Log... TRUE Rule Number: 255 Action... permit Match All... TRUE 6
4 L3 ACL 基 本 設 定 送 信 元 宛 先 IP アドレスによるレイヤ 3 のパケットフィルタリングを 行 う ACL の 設 定 です 4.1 標 準 L3 ACL の 作 成 標 準 L3 ACL は 送 信 元 IP アドレスのみでフィルタリングを 行 う ACL です グローバルコンフィグモ ードにおいて 以 下 の 設 定 を 行 います (Config)# access-list <1-99> {deny permit} {every <srcip> <srcm ask>} <rule-id> 送 信 元 アドレスが 192.168.1.0/24 のパケットを 許 可 する 標 準 L3ACL の 設 定 (Config)#access-list 1 permit 192.168.1.0 0.0.0.255 4.2 拡 張 L3 ACL の 設 定 拡 張 L3 ACL は 送 信 元 および 宛 先 IP アドレスの 組 み 合 わせでフィルタリングを 行 う ACL です グ ローバルコンフィグモードにおいて 以 下 の 設 定 を 行 います (Config)# access-list <100-199> {deny permit} { icmp ip } {any <srcip> <srcmask>} {any <dstip> <dstmask>)} <rule-id> 実 際 には L4 の 設 定 も 表 示 されますが ここでは 省 略 しています 送 信 元 192.168.1.0/24 から 宛 先 192.168.100.0/24 へのパケットを 許 可 し それ 以 外 は 不 許 可 とす る 拡 張 L3ACL の 設 定 (Config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255 (Config)#access-list 100 deny ip any any 4.3 名 前 つき L3 ACL の 設 定 名 前 つき L3 ACL の 設 定 はグローバルコンフィグモードにおいて 以 下 の 設 定 を 行 います (Config)# ip access-list <name> (Config-ipv4-acl)#{deny permit} { icmp ip } {any <srcip> <srcmask>} {any <dstip> <dstmask>)} <rule-id> 実 際 には L4 の 設 定 も 表 示 されますが ここでは 省 略 しています 宛 先 192.168.120.254/32 のパケットを 許 可 し それ 以 外 は 不 許 可 とする 名 前 つき L3ACL(l3test) の 設 定 (Config)#ip access-list l3test (Config-ipv4-acl)#permit ip any 192.168.120.254 0.0.0.0 (Config-ipv4-acl)#deny ip any any 7
4.4 ACL 名 の 変 更 ACL の 名 前 を 変 える 場 合 は 以 下 のコマンドを 使 用 します (Config)# ip access-list rename <name> <newname> 4.5 インタフェースまたは VLAN への L3 ACL の 適 用 L3 ACL のインタフェースへの 適 用 は 対 象 のインタフェースのコンフィグコードで 以 下 の 設 定 を 行 います (Interface slot/port)# ip access-group {<1-199> <name >} {in out} L3 ACL を VLAN に 対 して 適 用 する 場 合 は グローバルコンフィグモードにおいて 以 下 の 設 定 を 行 います (Config)# ip access-group {<1-199> <name >} [vlan <vlan-id>] {in out} インタフェース 0/1 への ACL の 適 用 (Interface 0/1) #ip access-group l3test in VLAN 100 への ACL の 適 用 (Config)#ip access-group l3test vlan 100 in 4.6 L3 ACL の 設 定 の 確 認 L3 ACL の 設 定 を 確 認 するコマンドは 以 下 になります # show ip access-lists # show ip access-lists <name> 実 行 例 #show ip access-lists Current number of ACLs: 1 Maximum number of ACLs: 100 ACL ID/Name Rules Direction Interface(s) VLAN(s) ------------------------------- ----- --------- -------------- ---------- l3test 2 inbound 0/1 #show ip access-lists l3test ACL Name: l3test Inbound Interface(s): 0/1 Rule Number: 10 Action... permit Match All... FALSE IPv4 Protocol... 255(ip) 8
Destination IP Address... 192.168.120.254 Destination IP Wildcard Mask... 0.0.0.0 Rule Number: 255 Action... deny Match All... TRUE Log... TRUE 9
5 L4 ACL の 設 定 TCP または UDP ポート 番 号 など レイヤ 4 のパケットフィルタリングを 行 う ACL の 設 定 です 5.1 拡 張 L4 ACL の 設 定 拡 張 L4 ACL の 設 定 はグローバルコンフィグモードで 以 下 の 設 定 を 行 います (Config)# access-list <100-199> {deny permit} {ip tcp udp } {any <srcip> <srcmask>} {eq {<0-65535> <portkey>} {any <dstip> <dstmask>} {eq <0-65535> <portkey>} <rule-id> <0-65535>:TCP または UDP ポート 番 号 <portkey> : ポート 番 号 の 代 わりに ftp http などプロトコル 名 を 指 定 することもできます 実 際 には icmp などの 設 定 も 表 示 されますがここでは 省 略 しています 送 信 元 192.168.1.0/24 から 宛 先 192.168.100.0/24 かつ TCP ポート 1024 番 へのパケットを 許 可 し それ 以 外 は 不 許 可 とする 拡 張 L3ACL の 設 定 (Config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.100.0 0.0.0.255 eq 1024 (Config)#access-list 100 deny ip any any 5.2 名 前 つき L4 ACL の 設 定 名 前 つき L4 ACL はグローバルコンフィグモードで 以 下 の 設 定 を 行 います (Config)# ip access-list <name> (Config-ipv4-acl)#deny permit} {ip tcp udp } {any <srcip> <srcmask>} {eq {<0-65535> <portkey>} {any <dstip> <dstmask>} {eq <0-65535> <portkey>} <rule-id> 実 際 には icmp などの 設 定 も 表 示 されますがここでは 省 略 しています 宛 先 ア ド レ ス 192.168.120.254/24 宛 先 ポ ー ト Telnet の パ ケ ッ ト を 許 可 す る 名 前 つ き L4ACL(l4test)の 設 定 (Config)#ip access-list l4test (Config-ipv4-acl)#permit tcp any 192.168.120.254 0.0.0.0 eq telnet 5.3 インタフェースまたは VLAN への L4 ACL の 適 用 インタフェースまたは VLAN への L4 ACL の 適 用 は L3 ACL と 同 様 になります 5.4 L4 ACL の 設 定 の 確 認 L4 ACL の 設 定 確 認 は L3 ACL と 同 様 になります 10