CSS のアクセス制御

CHAPTER 1 この 章 では ネットワーク トラフィックなどの CSS へのアクセスの 設 定 方 法 を 説 明 します この 章 の 記 載 情 報 は 特 に 指 示 がない 限 り CSS の 全 モデルに 共 通 です この 章 の 主 な 内 容 は 次 のとおりです 管 理 者 のユーザ 名 とパスワードの 変 更 ユーザ 名 とパスワードの 作 成 CSS へのリモート アクセスの 制 御 CSS への 管 理 アクセスの 制 御 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 ACL へのネットワーク 修 飾 子 リストの 設 定 1-1

管 理 者 のユーザ 名 とパスワードの 変 更 第 1 章 管 理 者 のユーザ 名 とパスワードの 変 更 CSS に 初 めてログインするときは デフォルトのユーザ 名 admin とデフォルト のパスワード system を 小 文 字 で 入 力 します セキュリティを 確 保 するため 管 理 者 のユーザ 名 とパスワードは 変 更 する 必 要 があります 出 荷 時 には すべての CSS で 管 理 者 のユーザ 名 とパスワードが 同 一 に 設 定 されているため CSS のセ キュリティが 損 なわれる 可 能 性 があります 管 理 者 のユーザ 名 とパスワードは nonvolatile random access memory(nvram; 不 揮 発 性 RAM)に 保 持 されています CSS を 再 度 ブートするたびに ユーザ 名 とパスワードが NVRAM から 読 み 取 られ ユーザ データベースに 書 き 込 まれま す 管 理 者 のユーザ 名 には デフォルトで SuperUser ステータスが 割 り 当 てられ ています 管 理 者 のユーザ 名 とパスワードは 変 更 できますが これらの 値 は NVRAM 内 に 保 持 されているため 完 全 に 削 除 することはできません 管 理 者 のユーザ 名 を no username コマンドで 削 除 すると そのユーザ 名 は running-config ファイルか ら 削 除 されますが 再 度 ブートすると NVRAM から 復 元 されます 管 理 者 のユーザ 名 とパスワードを 変 更 するには username-offdm name password text コマンドを 使 用 します ( 注 ) ブート 時 に Offline DM メニューの Security Options メニューを 使 用 して 管 理 者 のユーザ 名 とパスワードを 変 更 することもできます Offline DM メニューの 詳 細 については Cisco Content Services Switch Administration Guide を 参 照 してく ださい たとえば デフォルトの 管 理 者 のユーザ 名 とパスワードを 変 更 するには 次 のよ うに 入 力 します (config)# username-offdm bobo password secret 1-2

第 1 章 ユーザ 名 とパスワードの 作 成 ユーザ 名 とパスワードの 作 成 CSS にログインするには ユーザ 名 とパスワードが 必 要 です CSS は 管 理 者 や 技 術 者 用 のユーザ 名 を 含 め 最 大 で 32 個 のユーザ 名 をサポートします 各 ユー ザには SuperUser か User のステータスを 割 り 当 てることができます User : 一 部 のコマンド 群 を 使 用 して CSS パラメータの 監 視 や 表 示 を 実 行 で きますが CSS パラメータを 変 更 することはできません User ステータスの プロンプトには 末 尾 に > が 付 きます SuperUser :User ステータスで 使 用 できる 各 コマンドを 含 む CSS のすべての CLI コマンドを 使 用 して CSS を 設 定 できます SuperUser ステータスのプロ ンプトには 末 尾 に # が 付 きます SuperUser モードでは グローバル 設 定 モードと その 下 位 の 各 設 定 モード を 利 用 できます 新 しいユーザを 設 定 する 際 に superuser オプションを 指 定 しないと 新 しいユーザはデフォルトで User ステータスになります 注 意 ユーザ 名 やパスワードを 作 成 したり 変 更 したりできるのは 管 理 者 または 技 術 者 として 識 別 される CSS ユーザだけです この 制 限 は restrict user-database コマ ンドが 実 行 済 みかどうかによって 左 右 されます CSS にログインするためのユーザ 名 とパスワードは username コマンドで 作 成 します このグローバル 設 定 モードのコマンドのシンタックスは 次 のとおりで す username name [des-password password] password {superuser} {dir-access access} 次 の 例 では ユーザ 名 picard パスワード captain のユーザが SuperUser ステー タスで 作 成 されます (config)# username picard password captain superuser このコマンドのオプションと 変 数 は 次 のとおりです name : 割 り 当 てまたは 変 更 するユーザ 名 を 設 定 する スペースを 含 まない 16 文 字 以 内 の 文 字 列 を 引 用 符 で 囲 まずに 指 定 します 既 存 のユーザ 名 の リストを 表 示 するには username? コマンドを 使 用 します 1-3

ユーザ 名 とパスワードの 作 成 第 1 章 des-password :Data Encryption Standard (DES; データ 暗 号 化 規 格 )でパス ワードを 暗 号 化 する このオプションは スクリプトや 起 動 設 定 ファイルと して 使 用 するファイルを 作 成 する 場 合 のみに 使 用 します DES のパスワード として 6 ~ 64 文 字 の 文 字 列 を 引 用 符 で 囲 まずに 大 文 字 と 小 文 字 を 区 別 して 入 力 します password :パスワードを 暗 号 化 しない このオプションは CLI で 必 要 に 応 じてユーザを 作 成 するときに 使 用 します password :パスワード スペースを 含 まない 6 ~ 16 文 字 の 文 字 列 を 引 用 符 で 囲 まずに 指 定 します CSS では パーセント 記 号 (%)を 除 いたすべて の 特 殊 文 字 をパスワードに 使 用 できます ( 注 ) des-password オプションを 指 定 すると CSS に 正 しくログインするには 暗 号 化 されたパスワードが 必 要 になります CSS 暗 号 化 パスワードは 実 行 設 定 に 含 まれています CSS の 実 行 設 定 を 表 示 するには show running-config コマンドを 使 用 します( ユーザ 名 とパスワードの 作 成 参 照 ) superuser :ユーザに SuperUser モードの 利 用 を 許 可 する このオプションを 指 定 しない 場 合 ユーザが 利 用 できるのは User モードだけです dir-access:(オプション) 指 定 した 名 前 のユーザを 対 象 に CSS ディレクト リへのアクセス 権 を 指 定 する CSS の 7 つのディレクトリ つまり script log root (インストール 済 み CSS ソフトウェア) archive release root ( 設 定 ファイル) core MIB の 各 ディレクトリには この 順 序 でアクセス 権 が 割 り 当 てられています デフォルトでは 7 つのディレクトリすべてに 対 し て 読 み 取 りと 書 き 込 みの 両 方 の 権 限 (B)がユーザに 与 えられます 管 理 者 や 技 術 者 は dir-access オプションによって これらの 各 ディレクトリへの 一 連 のアクセス 権 を ユーザごとに 設 定 できます アクセス 権 の 変 更 は ディ レクトリ 関 連 の CLI コマンドの 使 用 にも 影 響 を 与 えます dir-access オプションを 使 用 するには その 前 に restrict user-database コマ ンドを 実 行 し CSS ユーザ データベースにセキュリティ 制 限 を 設 定 する 必 要 があります 1-4

第 1 章 ユーザ 名 とパスワードの 作 成 access : 指 定 した 名 前 のユーザを 対 象 に ディレクトリへのアクセス 権 を 指 定 する デフォルトでは 7 つのディレクトリすべてに 対 して 読 み 取 りと 書 き 込 みの 両 方 の 権 限 (B)がユーザに 与 えられます これらの 各 ディレクト リへのアクセス 権 を 表 す 次 のコードを 連 結 した 文 字 列 として 入 力 します - - - - R:CSS ディレクトリへの 読 み 取 り 専 用 アクセス W:CSS ディレクトリへの 書 き 込 み 専 用 アクセス B:CSS ディレクトリへの 読 み 取 りおよび 書 き 込 みを 許 可 N:CSS ディレクトリへのアクセスを 許 可 しない 図 1-1 に ユーザのディレクトリへのアクセス 権 の 例 を 示 します 図 1-1 CSS ディレクトリへのアクセス 権 NWBNNNR MIB core release root archive root log script None None None None 59110 たとえば ユーザ 名 picard のディレクトリへのアクセス 権 を 設 定 するには 次 の ように 入 力 します (config)# username picard password captain superuser NWBNNNR 既 存 のユーザ 名 のリストを 表 示 するには 次 のように 入 力 します (config)# username? 既 存 のユーザ 名 を 削 除 するには 次 のように 入 力 します (config)# no username picard 1-5

ユーザ 名 とパスワードの 作 成 第 1 章 ユーザのパスワードを 変 更 するには username コマンドを 実 行 して 新 しいパ スワードを 指 定 します ユーザのステータスが SuperUser の 場 合 には superuser オプションも 忘 れずに 指 定 してください たとえば 次 のように 設 定 します (config)# username picard password flute superuser 注 意 no username コマンドはユーザを 完 全 に 削 除 します このコマンドは いったん 実 行 すると 元 に 戻 せないため 注 意 して 使 用 してください 1-6

第 1 章 CSS へのリモート アクセスの 制 御 CSS へのリモート アクセスの 制 御 CSS へのアクセスを 制 御 するには リモート( 仮 想 )ユーザまたはコンソール ユーザを 認 証 するように CSS を 設 定 します CSS では ローカル ユーザ データ ベース RADIUS サーバ または TACACS+ サーバを 使 用 してユーザを 認 証 でき ます また 認 証 を 行 わずにユーザ アクセスを 許 可 したり すべてのリモート ユーザを 許 可 しないようにしたりすることもできます 認 証 方 式 は 最 大 3 種 類 (プライマリ セカンダリ またはターシャリ)まで 設 定 できます プライマリ 認 証 方 式 が 最 初 に 使 用 されます プライマリ 認 証 方 式 が 失 敗 すると(たとえば RADIUS サーバがダウンしているか 到 達 不 能 ) セカン ダリ 方 式 が 使 用 されます セカンダリ 認 証 方 式 が 失 敗 した 場 合 は ターシャリ 認 証 方 式 が 使 用 されます ターシャリ 認 証 方 式 も 失 敗 した 場 合 は 認 証 エラー メッ セージが 表 示 されます 次 の 条 件 下 ではセカンダリ 認 証 方 式 もターシャリ 認 証 方 式 も 使 用 されません 認 証 方 式 が local であり ローカル ユーザ 名 がローカル ユーザ データベー スにない 認 証 方 式 が local であり ローカル ユーザ 名 がローカル ユーザ データベー スにあるが パスワードが 無 効 である 認 証 方 式 が radius であり RADIUS サーバが CSS からのプライマリ 認 証 要 求 を 拒 否 する 認 証 方 式 が tacacs であり TACACS+ サーバが CSS のプライマリ 認 証 要 求 を 拒 否 する RADIUS または TACACS+ を 仮 想 認 証 方 式 またはコンソール 認 証 方 式 で 使 用 す るには 先 に RADIUS または TACACS+ セキュリティ サーバとの 通 信 を 可 能 に しておく 必 要 があります これには radius-server コマンド( 第 3 章 RADIUS サーバのクライアントとしての CSS の 設 定 参 照 )または tacacs-server コマン ド( 第 4 章 TACACS+ サーバのクライアントとしての CSS の 設 定 参 照 )を 使 用 します ここでは 次 の 内 容 について 説 明 します 仮 想 認 証 の 設 定 コンソール 認 証 の 設 定 仮 想 認 証 設 定 およびコンソール 認 証 設 定 を 表 示 するには show user-database コ マンドを 使 用 します 1-7

CSS へのリモート アクセスの 制 御 第 1 章 仮 想 認 証 の 設 定 仮 想 認 証 では FTP Telnet SSHD または CiscoView Device Manager(CVDM) インターフェイスを 使 用 しているリモート ユーザがユーザ 名 とパスワードを 使 用 して CSS にログインできます また ユーザ 名 とパスワードを 使 用 しなくて もログインすることができます CSS ですべてのリモート ユーザのアクセスを 拒 否 することもできます CSS では ローカル ユーザ データベース RADIUS サーバ または TACACS+ サーバを 使 用 してユーザを 認 証 するように 設 定 できます デフォルトでは ロー カル ユーザ データベースがユーザのプライマリ 認 証 方 式 として 使 用 され セカ ンダリ 認 証 方 式 とターシャリ 認 証 方 式 ではユーザ アクセスが 禁 止 されます プライマリ セカンダリ ターシャリのいずれかの 仮 想 認 証 方 式 を 設 定 するに は virtual authentication コマンドを 使 用 します このグローバル 設 定 コマンド のシンタックスは 次 のとおりです virtual authentication [primary secondary tertiary [local radius tacacs disallowed]] このコマンドのオプションは 次 のとおりです primary :CSS で 最 初 に 使 用 する 認 証 方 式 を 定 義 する デフォルトのプライ マリ 仮 想 認 証 方 式 は ローカル ユーザ データベースです secondary :CSS で 最 初 の 認 証 方 式 が 失 敗 した 場 合 に 次 に 使 用 する 認 証 方 式 を 定 義 する デフォルトのセカンダリ 仮 想 認 証 方 式 では すべてのユーザ ア クセスが 禁 止 されます ( 注 ) TACACS+ サーバをプライマリ 認 証 方 式 として 設 定 する 場 合 は セカン ダリ 認 証 方 式 (local など)を 定 義 する 必 要 があります tertiary :CSS で 2 番 目 の 認 証 方 式 が 失 敗 した 場 合 に 次 (3 番 目 )に 使 用 す る 認 証 方 式 を 定 義 する デフォルトのターシャリ 仮 想 認 証 方 式 では すべて のユーザ アクセスが 禁 止 されます local : 認 証 にローカル ユーザ データベースを 使 用 する radius : 認 証 に 設 定 済 みの RADIUS サーバを 使 用 する tacacs : 認 証 に 設 定 済 みの TACACS+ サーバを 使 用 する 1-8

第 1 章 CSS へのリモート アクセスの 制 御 disallowed :すべてのリモート ユーザのアクセスを 禁 止 する このオプショ ンを 指 定 しても 既 存 の 接 続 は 終 了 しません すでに CSS にログインしているユーザを 削 除 するには disconnect コマンドを 使 用 します TACACS+ サーバをプライマリ 仮 想 認 証 方 式 として 定 義 するには 次 のように 入 力 します #(config) virtual authentication primary tacacs ローカル ユーザ データベースをセカンダリ 仮 想 認 証 方 式 として 定 義 するには 次 のように 入 力 します #(config) virtual authentication secondary local コンソール 認 証 の 設 定 コンソール 認 証 では ユーザがユーザ 名 とパスワードを 使 用 して コンソール ポートに 接 続 された 端 末 経 由 で CSS にログインできるように 設 定 できます ま た ユーザのユーザ 名 とパスワードがなくてもログインできるように 設 定 するこ とも 可 能 です CSS では プライマリ 認 証 方 式 でユーザ アクセスを 禁 止 するこ とができません ただし セカンダリ 認 証 方 式 またはターシャリ 認 証 方 式 では ユーザ アクセスを 禁 止 できます CSS では ローカル ユーザ データベース RADIUS サーバ または TACACS+ サーバを 使 用 してユーザを 認 証 するように 設 定 できます デフォルトでは ロー カル ユーザ データベースがユーザのプライマリ 認 証 方 式 として 使 用 され セカ ンダリ 認 証 方 式 とターシャリ 認 証 方 式 ではユーザ アクセスが 禁 止 されます プライマリ セカンダリ ターシャリのいずれかのコンソール 認 証 方 式 を 設 定 す るには console authentication コマンドを 使 用 します このグローバル 設 定 コマ ンドのシンタックスは 次 のとおりです console authentication [primary [local radius tacacs none] secondary tertiary [local radius tacacs none disallowed]] このコマンドのオプションは 次 のとおりです primary :CSS で 最 初 に 使 用 する 認 証 方 式 を 定 義 する デフォルトのプライ マリ コンソール 認 証 方 式 は ローカル ユーザ データベースです 1-9

CSS へのリモート アクセスの 制 御 第 1 章 local : 認 証 にローカル ユーザ データベースを 使 用 する radius : 認 証 に 設 定 済 みの RADIUS サーバを 使 用 する tacacs : 認 証 に 設 定 済 みの TACACS+ サーバを 使 用 する none : 認 証 方 式 を 使 用 しない すべてのユーザが CSS にアクセスできます secondary :CSS で 最 初 の 認 証 方 式 が 失 敗 した 場 合 に 次 に 使 用 する 認 証 方 式 を 定 義 する デフォルトのセカンダリ コンソール 認 証 方 式 では すべての ユーザ アクセスが 禁 止 されます ( 注 ) TACACS+ サーバをプライマリ 認 証 方 式 として 設 定 する 場 合 は セカン ダリ 認 証 方 式 (local など)を 定 義 する 必 要 があります セカンダリ 認 証 方 式 を 設 定 しないで デフォルトの disallowed を 使 用 すると CSS にロ グインできない 可 能 性 があります tertiary :CSS で 2 番 目 の 認 証 方 式 が 失 敗 した 場 合 に 次 (3 番 目 )に 使 用 す る 認 証 方 式 を 定 義 する デフォルトのターシャリ コンソール 認 証 方 式 では すべてのユーザ アクセスが 禁 止 されます disallowed :すべてのユーザのアクセスを 禁 止 する(セカンダリまたはター シャリ 認 証 方 式 のみ) このオプションを 指 定 しても 既 存 の 接 続 は 終 了 し ません すでに CSS にログインしているユーザを 削 除 するには disconnect コマンドを 使 用 します TACACS+ サーバをプライマリ コンソール 認 証 方 式 として 定 義 するには 次 のよ うに 入 力 します #(config) console authentication primary tacacs ローカル ユーザ データベースをセカンダリ コンソール 認 証 方 式 として 定 義 する には 次 のように 入 力 します #(config) console authentication secondary local コンソール ポートで 認 証 を 無 効 にして ユーザがユーザ 名 とパスワードを 指 定 しなくても CSS にアクセスできるようにするには 次 のように 入 力 します #(config) no console authentication 1-10

第 1 章 CSS への 管 理 アクセスの 制 御 CSS への 管 理 アクセスの 制 御 デフォルトでは コンソール FTP SSH SNMP および Telnet を 使 ったアクセ スが 有 効 に 設 定 されています CSS では 最 大 でそれぞれ 4 つの FTP セッショ ンと Telent セッションがサポートされます コンソール FTP SNMP SSH Telnet ユーザ データベース 保 護 された XML と 保 護 されていない XML およ び CVDM による CSS へのデータ 転 送 を 有 効 または 無 効 にするには restrict お よび no restrict コマンドを 使 用 します restrict コマンドを 指 定 しても CSS はアクセス 制 限 されたポートでの 接 続 試 行 を 傍 受 します TCP 接 続 の 場 合 CSS は TCP 3 ウェイ ハンドシェイクが 完 了 し た 後 でエラーで 接 続 を 終 了 し データが 転 送 されないようにします UDP SNMP 接 続 の 場 合 は 単 にパケットを 廃 棄 します 制 限 付 きポートを 不 正 アクセスから 保 護 するには 通 常 のトラフィックは CSS 内 を 通 過 させ これらのポート 宛 てのパケットは 拒 否 するように access control list (ACL; アクセス コントロール リスト) 句 を 設 定 します また ACL を 使 用 して CSS 自 体 を 保 護 することもできます CSS への ACL の 設 定 方 法 については アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 を 参 照 してください CSS への 管 理 アクセスの 有 効 化 CSS へのコンソール FTP SNMP SSH Telnet ユーザ データベース 保 護 さ れた XML と 保 護 されていない XML CVDM アクセスを 有 効 にするには 次 の 各 no restrict コマンドを 使 用 します no restrict console :CSS へのコンソール アクセスを 有 効 にする デフォル トでは 有 効 に 設 定 されています no restrict ftp :CSS への FTP アクセスを 有 効 にする デフォルトでは 有 効 に 設 定 されています no restrict ssh :CSS への SSH アクセスを 有 効 にする デフォルトでは 有 効 に 設 定 されています no restrict snmp :CSS への SNMP アクセスを 有 効 にする デフォルトでは 有 効 に 設 定 されています no restrict telnet :CSS への Telnet アクセスを 有 効 にする デフォルトでは 有 効 に 設 定 されています 1-11

CSS への 管 理 アクセスの 制 御 第 1 章 no restrict user-database :ユーザによる running-config ファイルの 削 除 お よびユーザ 名 の 作 成 や 変 更 を 有 効 にする これらの 操 作 は 管 理 者 ユーザと 技 術 者 ユーザだけに 許 可 されています デフォルトでは 有 効 に 設 定 されて います no restrict secure-xml : 保 護 された HTTPS SSL 接 続 による CSS への XML 設 定 ファイルの 転 送 を 有 効 にする デフォルトでは 無 効 に 設 定 されています no restrict xml : 保 護 されていない HTTP 接 続 による CSS への XML 設 定 ファ イルの 転 送 を 有 効 にする デフォルトでは 無 効 に 設 定 されています no restrict web-mgmt :CSS への CiscoView Device Manager(CVDM)からの アクセスを 有 効 にする デフォルトでは 無 効 に 設 定 されています ( 注 ) Secure Shell Host(SSH; セキュア シェル ホスト)サーバを 使 用 する 場 合 は Telnet アクセスを 無 効 にします SSH の 設 定 については 第 2 章 SSHD プロトコルの 設 定 を 参 照 してください たとえば CVDM ユーザのアクセスを 有 効 にするには 次 のように 入 力 します (config)# no restrict web-mgmt Simple Network Management Protocol(SNMP; 簡 易 ネットワーク 管 理 プロトコル) の 設 定 についての 詳 細 は Cisco Content Services Switch Administration Guide を 参 照 してください XML を 使 用 して CSS に Web ベースでの 設 定 変 更 を 行 う 方 法 については Cisco Content Services Switch Administration Guide を 参 照 してく ださい 1-12

第 1 章 CSS への 管 理 アクセスの 制 御 CSS への 管 理 アクセスの 無 効 化 CSS へのコンソール FTP SNMP SSH Telnet ユーザ データベース 保 護 さ れた XML と 保 護 されていない XML CVDM アクセスを 無 効 にするには 次 の 各 restrict コマンドを 使 用 します restrict console :CSS へのコンソール アクセスを 無 効 にする デフォルトで は 有 効 に 設 定 されています restrict ftp :CSS への FTP アクセスを 無 効 にする デフォルトでは 有 効 に 設 定 されています restrict snmp :CSS への SNMP アクセスを 無 効 にする デフォルトでは 有 効 に 設 定 されています restrict ssh :CSS への SSHD アクセスを 無 効 にする デフォルトでは 有 効 に 設 定 されています restrict telnet :CSS への Telnet アクセスを 無 効 にする デフォルトでは 有 効 に 設 定 されています restrict user-database :ユーザによる running-config ファイルの 削 除 や ユー ザ 名 の 作 成 変 更 ができないようにする これらの 操 作 は 管 理 者 ユーザと 技 術 者 ユーザだけに 許 可 されています デフォルトでは 有 効 に 設 定 されて います restrict secure-xml : 保 護 された HTTPS SSL 接 続 による CSS への XML 設 定 ファイルの 転 送 を 無 効 にする デフォルトでは 無 効 に 設 定 されています restrict xml : 保 護 されていない HTTP 接 続 による CSS への XML 設 定 ファイ ルの 転 送 を 無 効 にする デフォルトでは 無 効 に 設 定 されています restrict web-mgmt :CSS への CVDM アクセスを 無 効 にする デフォルトで は 無 効 に 設 定 されています たとえば Telnet アクセスを 無 効 にするには 次 のように 入 力 します (config)# restrict telnet 1-13

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 アクセス コントロール リストによる CSS ネットワーク ト ラフィックの 制 御 CSS には アクセス コントロール リスト(ACL)を 使 用 したトラフィックのフィ ルタリング 機 能 が 用 意 されています ACL では CSS のインターフェイスでパ ケットを 転 送 するかブロックするかを 制 御 することにより 着 信 ネットワーク トラフィックをフィルタ 処 理 します ACL は ルーティング 対 象 のネットワー ク プロトコルに 対 して 設 定 することができます これにより そのプロトコル のパケットが CSS を 通 過 するときに それらのパケットをフィルタリングする ことができます ここでは ACL の 設 定 方 法 について 説 明 します ACL の 概 要 ACL 設 定 のクイック スタート ACL の 作 成 ACL の 削 除 句 の 設 定 ACL をグローバルに 有 効 化 した 場 合 の 句 の 追 加 句 の 削 除 SSL モジュール 発 信 トラフィックからの ACL 句 の 除 外 回 線 または DNS 問 い 合 せへの ACL の 適 用 回 線 または DNS 問 い 合 せからの ACL の 削 除 CSS での ACL の 有 効 化 CSS での ACL の 無 効 化 ACL の 表 示 ACL カウンタ 表 示 の 0 への 設 定 ACL アクティビティのロギング ACL の 例 1-14

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 ACL の 概 要 CSS に ACL を 設 定 すると ネットワークへのアクセスに 対 して 基 本 レベルのセ キュリティが 確 立 されます ACL を 設 定 していない CSS では VLAN 回 線 を 経 由 するすべてのパケットがネットワークに 入 ってくる 可 能 性 があります ACL を 使 用 すると たとえば CSS 回 線 に 入 ってくるすべての 電 子 メール トラフィッ クを 許 可 し Telnet トラフィックをブロックするようなことが 可 能 です また ACL を 使 用 することにより あるクライアントに 対 してネットワークの 一 部 へ のアクセスを 許 可 し 別 のクライアントに 対 して 同 じ 領 域 へのアクセスを 拒 否 す ることもできます ACL は ユーザ 定 義 の 句 から 構 成 されます CSS では これらの 句 を 使 用 して VLAN 回 線 での 各 パケットの 処 理 方 法 を 決 定 します CSS は 各 パケットを 検 査 し パケットが ACL の 句 に 一 致 するかどうかに 基 づいてそのパケットを 転 送 ま たはブロックします トラフィックが 回 線 を 通 過 できるようにするには ACL に permit 句 を 設 定 する 必 要 があります ACL の 最 後 には 暗 黙 的 な deny all 句 があります CSS に ACL を 設 定 する 際 には CSS の 各 VLAN について ACL を 適 用 して 着 信 トラフィックを 制 御 する 必 要 があります 回 線 に ACL を 適 用 すると ACL と その 句 が その 回 線 に 割 り 当 てられます 各 CSS 回 線 に ACL を 適 用 したら ACL を 有 効 化 する 必 要 があります ACL を グローバルに 有 効 化 すると CSS のすべての 回 線 に 適 用 されます ACL を 有 効 化 すると すべての ACL に 含 まれる 句 が 使 用 されて すべての 回 線 でトラフィッ クが 許 可 または 拒 否 されます ACL が 設 定 されていない 回 線 には 暗 黙 的 な deny all が 適 用 され この 回 線 のすべてのトラフィックが 拒 否 されます 1-15

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 例 として 図 1-2 に CSS の 3 本 の VLAN 回 線 を 示 します 図 1-2 CSS で 有 効 化 された ACL ACL VIP 192.32.1.254 TCP CSS ACL 1 VLAN1 ACL 2 VLAN2 ACL ACL VLAN3 114997 VLAN1 で 宛 先 VIP アドレス 192.32.1.254 へのすべての TCP トラフィックを 許 可 するには ACL 1 を 作 成 し 次 のように 句 を 設 定 します clause 15 permit tcp any destination 192.32.1.254 その 後 に ACL 1 を VLAN1 に 適 用 します VLAN2 で 任 意 の 宛 先 へのすべてのトラフィックを 許 可 するには ACL 2 を 作 成 し 次 のように 句 を 設 定 します clause 15 permit any any destination any その 後 に ACL 2 を VLAN2 に 適 用 します CSS で ACL を 有 効 にすると ACL に 設 定 した permit 句 の 定 義 どおりに VLAN1 と VLAN2 のトラフィックが 許 可 されます VLAN3 には ACL が 適 用 されていな いので この 回 線 には 暗 黙 的 な deny all が 適 用 され この 回 線 のすべてのト ラフィックが 拒 否 されます 1-16

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 注 意 ACL は 一 種 のファイアウォールとして 機 能 し セキュリティを 確 保 します ACL を 有 効 にする 前 に まず 各 CSS 回 線 にトラフィックを 許 可 する ACL を 設 定 する ことが 非 常 に 重 要 です トラフィックをまったく 許 可 しない 場 合 ネットワーク への 接 続 性 が 失 われます ただし 接 続 が 失 われても コンソール ポートには 影 響 しません ACL をグローバルに 有 効 化 すると 各 回 線 に ACL が 割 り 当 てられているかどう かに 関 係 なく すべての CSS 回 線 のすべてのトラフィックが 影 響 を 受 けます ACL を 有 効 化 すると 個 々の ACL の permit 句 に 設 定 されていない 回 線 のトラ フィックはすべて 拒 否 されます 各 回 線 に ACL を 適 用 していない 場 合 その 回 線 へのトラフィックは 拒 否 されます CSS で ACL を 使 用 する 際 には CSS のハードウェアに レイヤ 3 またはレイヤ 4 の 簡 単 な 句 を 使 用 できる ACL が 最 大 10 個 実 装 されます CSS ソフトウェアに は より 複 雑 なレイヤ 5 の 句 を 使 用 できる ACL が 実 装 されます ( 注 ) ACL は CSS のイーサネット 管 理 ポートではサポートされません ACL は ARP パケットをブロックしません ソース グループを 指 定 した ACL 句 を 使 用 して SSL モジュール 宛 てのトラ フィックの 送 信 元 アドレス 変 換 を 行 うことはできません CSS はこの 句 を 受 け 入 れますが SSL モジュールで 終 了 するフローがあってもこの 句 を 無 視 します SSL 処 理 後 にサーバに 向 かう 接 続 に 対 して NAT を 適 用 することができます パッシブ FTP サーバのロード バランシングを 実 行 している 場 合 に ACL を 使 用 してソース グループを 適 用 するには そのソース グループに 直 接 サービスを 設 定 する 必 要 があります ソース グループによる FTP セッションのサポートの 詳 細 は Cisco Content Services Switch Content Load-Balancing Configuration Guide を 参 照 してください 1-17

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 ACL 設 定 のクイック スタート 表 1-1 に 示 すクイックスタートの 手 順 を 使 用 して ACL を 設 定 します それぞれ の 手 順 に 作 業 を 行 うために 必 要 な CLI コマンドも 示 します 各 機 能 の 詳 細 につ いては この 手 順 の 後 に 示 す 各 項 を 参 照 してください ( 注 ) 各 CSS 回 線 に 設 定 する ACL には 1 つ 以 上 の permit 句 を 含 める 必 要 があります permit 句 を 1 つも 指 定 しないと その 回 線 へのすべてのトラフィックが 拒 否 され ます 表 1-1 ACL 設 定 のクイック スタート 作 業 とコマンドの 例 1. グローバル 設 定 モードに 入 ります # config (config)# 2. ACL を 作 成 して ACL モードにアクセスします ACL インデックス 番 号 を 1 ~ 99 の 範 囲 で 入 力 します (config)# acl 7 Create ACL <7>, [y,n]:y (config-acl[7])# 1-18

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 表 1-1 ACL 設 定 のクイック スタート( 続 き) 作 業 とコマンドの 例 3. ACL に 句 を 設 定 します これらの 句 は ACL を 適 用 する 回 線 (VLAN1 な ど)へのトラフィックを 制 御 するために 使 用 されます 1 ~ 254 の 句 番 号 を 入 力 し clause パラメータを 定 義 します 句 を 定 義 するためのシンタッ クスは 次 のとおりです clause number permit deny bypass protocol [source_info {source_port}] dest [dest_info {dest_port}] {log} {prefer servicename} {sourcegroup name} clause コマンドのオプションについては 表 1-2 を 参 照 してください た とえば ネットワークの 外 部 から CSS の 1 本 の 回 線 を 通 ってポート 20 ~ 23 へ 着 信 するユーザ アクセスをすべてブロックするには 次 のように 入 力 します (config-acl[7])# clause 10 deny any any destination range 20 23 その 回 線 を 通 るその 他 のトラフィックをすべて 許 可 するには 次 のように 入 力 します (config-acl[7])# clause 15 permit any any destination any 4. ACL を 特 定 の 回 線 に 適 用 します この 例 では VLAN は 1 本 だけ(デフォ ルトの VLAN1)です たとえば acl7 を 回 線 VLAN1 に 適 用 するには 次 のように 入 力 します (config-acl[7])# apply circuit-(vlan1) apply all コマンドを 使 用 して ACL 7 を CSS のすべての 回 線 に 適 用 するこ ともできます 5. その 他 のすべての 回 線 についてステップ 1 ~ 4 を 繰 り 返 し 1 つ 以 上 の permit 句 を 含 む ACL を 作 成 し これらの 回 線 に 適 用 します CSS で ACL を 有 効 にした 場 合 ACL が 適 用 されていない 回 線 へのトラフィックは 拒 否 されます 1-19

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 表 1-1 ACL 設 定 のクイック スタート( 続 き) 作 業 とコマンドの 例 6. すべての ACL を 有 効 にします すべての ACL に 対 してグローバルな acl enable コマンドを 入 力 すると CSS のすべての 回 線 に 適 用 されます 注 意 ACL をグローバルに 有 効 化 すると CSS のすべての 回 線 へのすべて のトラフィックが 対 象 となるので 個 々の ACL 内 の permit 句 に 指 定 した 回 線 のトラフィックだけが 許 可 されます ACL を 適 用 していな い 回 線 には 暗 黙 的 な deny all が 適 用 され この 回 線 へのすべて のトラフィックが 拒 否 されます 次 に 例 を 示 します (config)# acl enable 次 の 実 行 設 定 例 は 表 1-1 で 説 明 したコマンドを 入 力 した 結 果 を 示 しています!**************************** ACL **************************** acl 7 clause 10 deny any any destination range 20 23 clause 15 permit any any destination any apply circuit-(vlan1)!************************** GLOBAL *************************** acl enable ACL の 作 成 ACL には CSS の 回 線 上 のトラフィックを 制 御 する 句 を 記 述 します CSS で ACL をグローバルに 有 効 化 すると すべての 回 線 に 適 用 されるので 各 回 線 について ACL を 作 成 する 必 要 があります 1 つの ACL を 複 数 の 回 線 に 適 用 することが 可 能 です また 1 つの ACL を CSS のすべての 回 線 に 適 用 することもできます ( 注 ) ACL が 設 定 されていない 回 線 には 暗 黙 的 な deny all が 適 用 され この 回 線 のすべてのトラフィックが 拒 否 されます 1-20

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 ACL を 作 成 して ACL モードにアクセスするには acl index number コマンドを 使 用 します 1 ~ 99 のインデックス 番 号 で ACL を 定 義 します 既 存 の ACL のリ ストを 表 示 するには acl? コマンドを 使 用 します (config)# acl 7 このモードにアクセスすると プロンプトは 作 成 したインデックス 番 号 の ACL モードに 変 わります たとえば 次 のように 入 力 します (config-acl[7])# ACL を 作 成 した 後 には 句 を 追 加 する 必 要 があります 詳 細 については 句 の 設 定 を 参 照 してください ACL の 削 除 ACL とその 句 が 不 要 になった 場 合 は その ACL を CSS から 削 除 できます ACL を 削 除 すると ACL 内 のすべての 句 も 削 除 されます ACL を 削 除 するには no acl コマンドを 使 用 します たとえば ACL 7 を 削 除 するには 次 のように 入 力 します (config)# no acl 7 CSS で ACL が 有 効 化 されている 場 合 に 現 在 回 線 に 適 用 されている 特 定 の ACL を 削 除 すると その ACL がその 回 線 から 削 除 され CSS のその 回 線 へのト ラフィックが 拒 否 されるようになります この 回 線 へのトラフィックを 許 可 した い 場 合 は CSS で ACL をグローバルに 無 効 化 します これにより その 回 線 へ のすべてのトラフィックが 許 可 されます たとえば 次 のように 操 作 します 1. グローバル 設 定 モードで CSS のすべての ACL を 無 効 化 します (config)# acl disable 2. ACL モードで 回 線 から ACL を 削 除 します 次 のように 入 力 します (config-acl[7])# remove circuit-(vlan1) 3. グローバル 設 定 モードで ACL を 削 除 します 次 のように 入 力 します 1-21

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 (config)# no acl 7 4. その 回 線 に 別 の ACL を 適 用 します 回 線 に ACL を 適 用 していない 場 合 に CSS でグローバルに ACL を 有 効 にすると その 回 線 へのトラフィックが 拒 否 されます 5. CSS のすべての ACL を 再 度 有 効 にします 次 のように 入 力 します (config)# acl enable 句 の 設 定 ACL に 設 定 した 句 によって 回 線 のトラフィックが CSS でどのように 処 理 され るかが 決 定 されます 句 を 設 定 する 際 には 句 に 番 号 を 割 り 当 てる 必 要 がありま す 各 句 に 割 り 当 てる 番 号 は 重 要 です ACL は 句 1 から 順 に 処 理 されます 句 に 番 号 を 割 り 当 てる 際 は 最 も 詳 細 な 一 致 条 件 の 句 に 最 も 小 さい 番 号 を 割 り 当 て ます 一 致 条 件 が 一 般 的 になるにつれ 大 きい 値 を 割 り 当 てます 句 は 番 号 順 に 入 力 する 必 要 はありません CSS により 句 は 適 切 な 順 序 で ACL に 自 動 挿 入 されます たとえば 句 10 と 句 24 を 入 力 した 後 に 句 15 を 挿 入 する と これらの 句 は 正 しい 順 序 で 挿 入 されます 回 線 へのトラフィックを 許 可 拒 否 またはバイパスする 句 を 作 成 するには clause コマンドを 使 用 します 句 番 号 は 句 に 割 り 当 てる 番 号 です 1 ~ 254 の 番 号 を 入 力 します ( 注 ) CSS で ACL が 有 効 化 されているときに ACL に 新 しい 句 を 追 加 した 場 合 は その 回 線 にその ACL を 再 度 適 用 する 必 要 があります 詳 細 については ACL をグ ローバルに 有 効 化 した 場 合 の 句 の 追 加 を 参 照 してください 作 成 した 句 は 修 正 できません 句 を 修 正 するには いったんその 句 を 削 除 し て 新 しい 句 を 作 成 する 必 要 があります 句 の 削 除 の 詳 細 は 句 の 削 除 の 項 を 参 照 してください CSS は すべての ACL に 対 し 255 番 目 の 句 としてデフォルトの 暗 黙 の deny all 句 を 適 用 します このため 管 理 トラフィックなどのトラフィックを 許 可 す る permit 句 を 指 定 する 必 要 があります 1-22

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 clause コマンドのシンタックスは 次 のとおりです clause number bypass : 回 線 へのトラフィックを 許 可 し そのトラフィック に 適 用 されるコンテンツ ルールをバイパスする( 処 理 しない)ための 句 を 作 成 する clause bypass のシンタックスは 次 のとおりです clause number bypass protocol [source_info {source_port}]dest [dest_info {dest_port}] {sourcegroup name} {prefer servicename} ( 注 ) bypass オプションでは トラフィックでコンテンツ ルールだけをバイパ スします このため Network Address Translating(NATing; ネットワー ク アドレス 変 換 )が 行 われません ソース グループを 指 定 する ACL 句 では bypass オプションを 使 用 しないでください bypass オプションは ソース グループの NATing に 影 響 しません clause number deny : 回 線 へのトラフィックを 拒 否 するための 句 を ACL に 作 成 する clause deny のシンタックスは 次 のとおりです clause number deny protocol [source_info {source_port}]dest [dest_info {dest_port}] {sourcegroup name} {prefer servicename} clause number permit : 回 線 へのトラフィックを 許 可 するための 句 を ACL に 作 成 する ACL に permit 句 を 設 定 すると permit 句 で 指 定 されていないすべ てのトラフィックは デフォルトで 拒 否 されます clause permit のシンタッ クスは 次 のとおりです clause number permit protocol [source_info {source_port}]dest [dest_info {dest_port}] {sourcegroup name} {prefer servicename} ( 注 ) ACL 句 内 の 宛 先 がレイヤ 5 コンテンツ ルールの 場 合 CSS は 接 続 をスプーフし ないため ACL 句 は 予 想 したとおりに 機 能 しません これを 解 決 するために TCP/IP アドレスとポートを 許 可 する 追 加 の 句 を 設 定 することができます この 場 合 両 方 の 句 でコンテンツが 一 致 することに 注 意 してください たとえば 次 のようになります clause 14 permit any any destination content Layer5/L5 eq 80( 元 の 句 ) clause 15 permit tcp any destination 200.200.200.200 eq 80(これは SYN を 処 理 す る 追 加 の 句 です この 句 では 宛 先 の IP アドレスがレイヤ 5 コンテンツ ルールに 設 定 されている IP アドレスになっています この 句 番 号 には 宛 先 のコンテン ツ ルールを 指 定 する 句 番 号 よりも 大 きい 値 を 指 定 する 必 要 があります ) 1-23

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 表 1-2 に clause コマンドの 変 数 とオプションを 示 します 太 字 のシンタックス は コマンドラインに 入 力 するキーワードを 表 します イタリック 体 は 値 を 入 力 する 変 数 (IP アドレスやホスト 名 など)を 表 します 表 1-2 clause コマンドのオプション 変 数 とオプション number action protocol source_info パラメータ 句 に 割 り 当 てる 番 号 1 ~ 254 の 番 号 を 入 力 します 句 に 割 り 当 てるアクション bypass deny permit のいず れかを 入 力 します トラフィックの 種 類 に 対 応 するプロトコル any icmp igp igmp ospf tcp udp のいずれかを 入 力 します トラフィックの 送 信 元 次 のいずれかを 入 力 します ip_address : 送 信 元 IP アドレスとオプションのマスク の IP アドレス サブネット マスクは IP アドレス 形 式 のみで 指 定 可 能 ( 省 略 可 ) hostname : 送 信 元 のホスト 名 ホスト 名 は ニーモ ニック 名 形 式 で 入 力 します 最 初 に CSS の DNS クラ イアントを 設 定 して CSS でのホスト 名 の 変 換 を 有 効 にします any : 送 信 元 IP アドレスおよびホスト 名 情 報 の 任 意 の 組 み 合 わせ nql nql_name :IP アドレスのリストで 構 成 されている 既 存 の Network Qualifier List (NQL; ネットワーク 修 飾 子 リスト) 1-24

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 表 1-2 clause コマンドのオプション( 続 き) 変 数 とオプション source_port destination_info パラメータ トラフィックの 送 信 元 ポート 送 信 元 ポートを 指 定 しない 場 合 この 句 は すべてのポート 番 号 からのトラフィック を 許 可 します 次 のいずれかを 入 力 します eq port : 指 定 したポート 番 号 と 同 じポート lt port : 指 定 したポート 番 号 より 小 さいポート gt port : 指 定 したポート 番 号 より 大 きいポート neq port : 指 定 したポート 番 号 と 異 なるポート range low high :ポート 番 号 の 範 囲 1 ~ 65535 の 範 囲 の 番 号 を 入 力 します low と high の 番 号 は スペース で 区 切 ります トラフィックの 宛 先 に 関 する 情 報 次 のいずれかを 入 力 し ます destination any : 宛 先 に 関 する 情 報 の 任 意 の 組 み 合 わ せ destination content owner_name/rule_name : 所 有 者 の コンテンツ ルール 所 有 者 とルール 名 は / 文 字 で 区 切 ります destination ip_address : 宛 先 IP アドレスとオプション のサブネット マスクの IP アドレス サブネット マス クは IP アドレス 形 式 だけで 入 力 します CIDR アド レス 形 式 は 使 用 できません destination hostname : 宛 先 のホスト 名 hostname を 使 用 するには 最 初 に CSS の DNS クライアントを 設 定 して CSS でのホスト 名 の 変 換 を 有 効 にします nql nql_name :ホストの IP アドレスで 構 成 される 既 存 の NQL NQL の 名 前 を 入 力 します 1-25

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 表 1-2 clause コマンドのオプション( 続 き) 変 数 とオプション destination_port パラメータ 宛 先 のポート 次 のいずれかを 入 力 します ポート 番 号 ま たはポート 名 (オプションを 指 定 )を 使 用 できます eq port : 指 定 したポート 番 号 と 同 じポート lt port : 指 定 したポート 番 号 より 小 さいポート gt port : 指 定 したポート 番 号 より 大 きいポート neq port : 指 定 したポート 番 号 と 異 なるポート range low high :ポート 番 号 の 範 囲 1 ~ 65535 の 範 囲 の 番 号 を 入 力 します low と high の 番 号 は スペース で 区 切 ります port names : - https = ポート 443 Https - ldap = ポート 389 Ldap - bgp = ポート 179 Bgp - ntp = ポート 123 Ntp - nntp = ポート 119 Nntp - pop = ポート 110 Pop - http = ポート 80 Http - gopher = ポート 70 Gopher - domain = ポート 53 Domain - smtp = ポート 25 Smtp - - - - telnet = ポート 23 Telnet ftp = ポート 21 Ftp ftp-data = ポート 20 Ftp-data none = なし 宛 先 ポートを 指 定 しない 場 合 この 句 では すべてのポー トへのトラフィックが 許 可 されます 1-26

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 表 1-2 clause コマンドのオプション( 続 き) 変 数 とオプション sourcegroup name パラメータ トラフィックの 宛 先 のソース グループ グループ 名 を 入 力 します ソース グループのリストを 表 示 するには 次 のように 入 力 します show group? ( 注 ) clause number bypass コマンドは ソース グループ の NATing に 影 響 しません ソース グループを 指 定 した ACL 句 を 使 用 して SSL モジュール 宛 てのトラフィックの 送 信 元 アド レス 変 換 を 行 うことはできません CSS はこの 句 を 受 け 入 れますが SSL モジュールで 終 了 するフ ローがあってもこの 句 を 無 視 します SSL 処 理 後 にサーバに 向 かう 接 続 に 対 して NAT を 適 用 する ことができます 1-27

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 表 1-2 clause コマンドのオプション( 続 き) 変 数 とオプション prefer service_name パラメータ トラフィックの 宛 先 として 指 定 したサービスを 他 のサー ビスより 優 先 させます 優 先 サービスを 複 数 定 義 する 場 合 は 各 サービスをカンマ(,)で 区 切 ります サービスは 最 大 2 つまで 定 義 できます Application Peering Protocol(APP)セッションで 学 習 され るサービスを 優 先 サービスに 設 定 することはできません APP で 学 習 されたリモート サービスは ap-redirect@192.168.138.118 の 形 式 になり show service summary 画 面 に 表 示 されます ACL 句 を 設 定 するときに は このサービスを 優 先 サービスとして 使 用 できません 起 動 設 定 にこの 句 を 保 存 して CSS を 再 起 動 すると 起 動 障 害 が 発 生 します この 時 点 では APP を 通 してこのサー ビスを 学 習 していないためです たとえば 次 のような 句 です clause 10 permit any any destination any prefer ap-redirect@192.168.138.118 ( 注 ) 優 先 サービスが 設 定 された ACL は スティッキ 性 よりも 優 先 されます 1 つの 句 内 にソース グループと 優 先 サービスの 両 方 を 指 定 する 場 合 先 にソース グループを 指 定 し てから 優 先 サービスを 指 定 する 必 要 があります ACL に 句 を 作 成 すると その ACL を 回 線 に 適 用 できます 詳 細 については 回 線 または DNS 問 い 合 せへの ACL の 適 用 の 項 を 参 照 してください 1-28

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 ACL をグローバルに 有 効 化 した 場 合 の 句 の 追 加 CSS で ACL がグローバルに 有 効 化 されているときに 既 に 適 用 されている ACL に 新 しい 句 を 追 加 した 場 合 その 句 を 有 効 にするには apply circuit コマンドを 使 用 してその 回 線 にその ACL を 再 度 適 用 する 必 要 があります たとえば ACL 7 を VLAN1 に 適 用 し ACL をグローバルに 有 効 化 したとしま す その 後 ACL 7 に 句 を 追 加 して この 句 を 有 効 にするには 次 のように 入 力 します (config-acl[7])# clause 200 permit any any destination any (config-acl[7])# apply circuit-(vlan1) 句 の 削 除 既 存 の 句 を 変 更 するには ACL からいったんその 句 を 削 除 して 再 度 追 加 する 必 要 があります 句 を 削 除 するには no clause コマンドを 使 用 します たとえ ば 句 6 を 削 除 するには 次 のように 入 力 します (config-acl[7]) no clause 6 回 線 に ACL が 適 用 され 有 効 化 されている 場 合 その CSS ではこれらの ACL を 使 用 中 であると 見 なします 使 用 中 の ACL から 句 を 削 除 することはできませ ん 句 を 削 除 するには 適 用 されている ACL を 回 線 から 削 除 してから 句 を 削 除 し その ACL を 再 度 回 線 に 適 用 します たとえば 回 線 VLAN1 の ACL7 から 句 6 を 削 除 するには 次 のように 操 作 しま す 1. ACL モードで 回 線 VLAN1 から ACL 7 を 削 除 します 次 のように 入 力 し ます (config-acl[7]) remove circuit-(vlan1) 2. 次 のように 入 力 して 句 6 を 削 除 します (config-acl[7]) no clause 6 3. 回 線 VLAN1 に ACL 7 を 再 度 適 用 します 次 のように 入 力 します (config-acl[7]) apply circuit-(vlan1) 1-29

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 ( 注 ) 適 用 されている ACL を 回 線 から 削 除 すると この 回 線 に 暗 黙 的 な deny all が 適 用 され この 回 線 へのすべてのトラフィックが 拒 否 されます 適 用 されている ACL を 回 線 から 削 除 するときに CSS でその 回 線 へのトラフィックを 許 可 した い 場 合 は グローバル 設 定 モードで acl disable コマンドを 使 用 して ACL をグ ローバルに 無 効 化 します CSS ですべての ACL を 無 効 化 することにより すべ ての 回 線 へのすべてのトラフィックが 許 可 されます SSL モジュール 発 信 トラフィックからの ACL 句 の 除 外 デフォルトでは ACL 内 のすべての 句 が SSL モジュールからの 発 信 トラフィッ クに 適 用 されます SSL モジュール 発 信 トラフィックから ACL 内 のすべての 句 または 特 定 の 句 を 除 外 するには ACL 設 定 モードで exclude コマンドを 使 用 し ます このコマンドのシンタックスは 次 のとおりです exclude ssl circuit-(vlannumber) {acl_clause} このコマンドには 次 の 変 数 があります number:acl 句 を 除 外 する 回 線 の 番 号 acl_clause:(オプション) 除 外 する 句 の 番 号 1 つ 以 上 の 句 または 句 の 範 囲 を 設 定 できます 複 数 入 力 する 場 合 は 各 番 号 をカンマで 区 切 ります ス ペースは 使 用 しません 句 の 範 囲 を 入 力 するには 最 初 と 最 後 の 番 号 をダッ シュ (-) でつなぎます スペースは 使 用 しません 句 を 指 定 しないと すべての 句 が 除 外 されます たとえば VLAN1 で ACL 7 の 句 1 5 および 10 ~ 20 を 除 外 する 場 合 は 次 のよ うに 入 力 します (config-acl[7])# exclude ssl circuit-(vlan1) 1,5,10-20 すべての ACL 句 を SSL モジュールからの 発 信 トラフィックに 再 適 用 するには exclude コマンドの no 形 式 を 使 用 します たとえば 次 のように 入 力 します (config-acl[7])# no exclude ssl circuit-(vlan1) 1-30

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 exclude コマンドを 使 用 する 場 合 は 次 の 要 件 を 考 慮 してください exclude コマンドを 使 用 する SSL モジュールが CSS に 取 り 付 けられている 必 要 があります ACL に exclude コマンドを 再 設 定 するには 先 に exclude コマンドの no 形 式 を 使 用 する 必 要 があります これを 行 わないと エラーが 表 示 されます Must issue <no exclude ssl circuit-(vlan#)> command first 1 つの ACL につき 1 つの exclude コマンドしか 設 定 できません exclude が 設 定 されている VLAN 以 外 の VLAN での no exclude コマンドの 使 用 につい ても このルールが 適 用 されます 複 数 設 定 しようとすると 次 のエラー メッセージが 表 示 されます Only one <exclude ssl circuit-(vlan#)> command per-acl exclude コマンドは 複 数 の ACL で 同 じ VLAN に 対 して 使 用 できません 使 用 すると 次 のエラー メッセージが 表 示 されます Command <exclude ssl circuit-(vlan#)> command found on different ACL ACL に exclude コマンドを 設 定 すると その ACL には 1 つの apply コマン ドしか 設 定 できません 複 数 設 定 しようとすると 次 のエラー メッセージ が 表 示 されます Only one <apply circuit-(vlan#)> command allowed with exclude configured ACL に 複 数 の apply コマンドを 設 定 すると exclude コマンドは 設 定 できま せん apply コマンドを 設 定 しなくても exclude コマンドを 設 定 できますが apply コマンドを 設 定 するまで 有 効 になりません ACL に exclude と apply コマンドを 設 定 する 場 合 は 両 方 のコマンドで 同 じ 回 線 VLAN 番 号 を 指 定 する 必 要 があります 回 線 VLAN 番 号 が 異 なる 場 合 は 次 のエラー メッセージが 表 示 されます No circuit apply command or exclude ssl circuit mismatch 1 本 の 回 線 上 に exclude コマンドと apply コマンドを 設 定 する 場 合 は 同 じ ACL に 指 定 する 必 要 があります 異 なる 場 合 は 次 のエラー メッセージが 表 示 されます Command <exclude ssl circuit-(vlan#)> command on different ACL than apply 1-31

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 apply コマンドを 設 定 してから exclude コマンドかその no 形 式 を 設 定 する と 内 部 で apply コマンドが 再 発 行 されてその ACL が 回 線 に 再 度 適 用 され ます このコマンドが 再 発 行 されることにより リモートのセッション プ ロセッサで SSL 設 定 が 更 新 されます 次 のコマンド セットは 回 線 VLAN が 削 除 されると exclude コマンドを 無 効 にします interface slot/subslot コマンド no bridge vlan コマンド 回 線 または DNS 問 い 合 せへの ACL の 適 用 ACL に 句 を 設 定 したら apply コマンドを 使 用 してすべての 回 線 個 別 の 回 線 または DNS 問 い 合 せに ACL を 割 り 当 てます ( 注 ) 適 用 されている ACL に 新 しい 句 を 追 加 するには apply circuit コマンドを 使 用 して その 回 線 に ACL を 再 度 適 用 します これにより 追 加 した 句 が 有 効 にな ります 空 の ACL を 回 線 に 適 用 することはできません 適 用 しようとすると エラー メッセージ Cannot apply ACL for it has no clauses が 表 示 されます この ACL モード コマンドのシンタックスとオプションは 次 のとおりです apply all : 既 存 のすべての 回 線 に ACL を 適 用 する たとえば 次 のように 入 力 します (config-acl[7])# apply all apply circuit - (circuit_name) : 個 別 の 回 線 に ACL を 適 用 する たとえば acl7 を 回 線 VLAN1 に 適 用 するには 次 のコマンドを 入 力 します (config-acl[7])# apply circuit-(vlan1) 回 線 のリストを 表 示 するには apply? を 入 力 します apply dns :DNS 問 い 合 せに ACL を 追 加 する (config-acl[7])# apply dns 1-32

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 add dns domain_ name コマンドを 使 用 して CSS のコンテンツ ルールにドメ イン 名 を 設 定 すると そのドメイン 名 への DNS 問 い 合 せは apply dns コマ ンドで 設 定 された ACL と 一 致 します ただし CSS に dns-server コマンドが 設 定 されている 場 合 に host コマンド で CSS に 設 定 されたドメイン 名 への DNS 問 い 合 せを CSS が 受 信 すると こ の DNS 問 い 合 せは apply dns コマンドで 設 定 された ACL と 一 致 しません ACL を 適 用 した 後 に CSS で ACL が 無 効 になっている 場 合 は acl enable グロー バル 設 定 コマンドを 入 力 して CSS で ACL を 有 効 にする 必 要 があります acl enable コマンドの 詳 細 については この 章 で 後 述 する CSS での ACL の 有 効 化 の 項 を 参 照 してください 回 線 または DNS 問 い 合 せからの ACL の 削 除 ACL から 句 を 削 除 する 場 合 回 線 に 適 用 した ACL を 削 除 する 場 合 または DNS 問 い 合 せから ACL を 削 除 する 場 合 は 回 線 からその ACL を 削 除 します すべて の 回 線 特 定 の 回 線 または DNS 問 い 合 せから ACL を 削 除 するには remove コマンドを 使 用 します この ACL モード コマンドのシンタックスとオプション は 次 のとおりです remove all :すべての 回 線 から ACL を 削 除 する (config-acl[7])# remove all remove circuit - (circuit_name) : 特 定 の 回 線 から ACL を 削 除 する たとえば 次 のように 入 力 します (config-acl[7])# remove circuit-(vlan1) 削 除 可 能 な 回 線 のリストを 表 示 するには remove? を 入 力 します remove dns :DNS 問 い 合 せから ACL を 削 除 する 次 に 例 を 示 します (config-acl[7])# remove dns 1-33

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 回 線 から ACL を 削 除 する 前 に ACL をグローバルに 無 効 化 することをお 勧 めし ます CSS で ACL が 有 効 になっている 場 合 にある 回 線 から ACL を 削 除 すると その 回 線 に 暗 黙 的 な deny all が 適 用 され この 回 線 へのすべてのトラフィッ クが 拒 否 されるようになります この 回 線 へのトラフィックが 拒 否 されないよう にするには CSS ですべての ACL を 無 効 にした 後 に その 回 線 から ACL を 削 除 する 必 要 があります CSS ですべての ACL を 無 効 化 することにより すべての 回 線 へのすべてのトラフィックが 許 可 されます たとえば 次 のように 操 作 します 1. グローバル 設 定 モードで CSS のすべての ACL を 無 効 化 します (config)# acl disable 2. ACL モードで 対 象 の 回 線 から ACL を 削 除 します (config-acl[7])# remove circuit-(vlan1) 3. ACL に 変 更 を 加 えます 回 線 から ACL を 削 除 した 場 合 は permit 句 を 含 む 別 の ACL をその 回 線 に 設 定 し 適 用 します この 操 作 を 行 わないと CSS で ACL を 再 度 有 効 にした ときに その 回 線 へのトラフィックが 拒 否 されるようになります 4. ACL を 回 線 に 再 度 適 用 します (config-acl[7])# apply circuit-(vlan1) 5. グローバル 設 定 モードで CSS のすべての ACL を 再 度 有 効 化 します (config)# acl enable CSS での ACL の 有 効 化 ACL とその 句 を 設 定 した 後 に その ACL を 各 CSS 回 線 に 適 用 すると すべての ACL をグローバルに 有 効 化 し CSS で 使 用 できるようになります すべての ACL をグローバルに 有 効 化 すると CSS のすべての 回 線 へのすべてのトラフィックが 影 響 を 受 け permit 句 が 指 定 されている ACL が 設 定 された 回 線 へのトラフィッ クだけが 許 可 されるようになります 1-34

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 注 意 ACL を 有 効 にする 前 に まず 各 CSS 回 線 にトラフィックを 許 可 する ACL を 設 定 することが 非 常 に 重 要 です ACL を 有 効 化 すると すべての 回 線 が 対 象 になり ます トラフィックをまったく 許 可 しない 場 合 は ネットワークへの 接 続 性 が 失 われます ACL を 有 効 化 すると 個 々の ACL の permit 句 に 設 定 されていない 回 線 のトラフィックはすべて 拒 否 されます ACL が 適 用 されていない 回 線 には 暗 黙 的 な deny all 句 が 適 用 されます たとえば CSS に 3 本 の 回 線 (VLAN1 VLAN2 および VLAN3)を 設 定 したと します 次 に ACL を VLAN1 だけに 設 定 したとします ACL をグローバルに 有 効 化 すると VLAN1 では その ACL に 基 づいてトラフィックが 流 れますが VLAN2 と VLAN3 には ACL が 設 定 されていないため これらの 回 線 に 暗 黙 的 な deny all 句 が 適 用 され これらの 回 線 へのパケットは 廃 棄 されます CSS で ACL をグローバルに 有 効 化 する 前 に コンソールにアクセスできること を 確 認 してください ACL の 設 定 が 原 因 でネットワーク 接 続 が 失 われた 場 合 で も コンソール ポートには 影 響 がありません acl enable グローバル 設 定 コマンドを 使 用 して CSS ですべての ACL を 有 効 化 し ます すべての ACL をグローバルに 有 効 にするには 次 のコマンドを 入 力 しま す (config)# acl enable CSS での ACL の 無 効 化 ACL を 追 加 変 更 または 削 除 する 場 合 または ACL の 句 を 削 除 する 場 合 は 回 線 からその ACL を 削 除 する 前 に すべての ACL を CSS で 無 効 にすることを お 勧 めします ACL をグローバルに 無 効 化 する 前 に ある 回 線 から ACL を 削 除 すると その 回 線 に 暗 黙 的 な deny all が 適 用 され この 回 線 へのすべてのト ラフィックが 拒 否 されます ( 注 ) CSS で ACL をグローバルに 無 効 化 すると CSS のすべての ACL が 無 効 化 され すべての CSS 回 線 へのすべてのトラフィックが 許 可 されるようになります 1-35

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 CSS のすべての ACL をグローバルに 無 効 にするには 次 のコマンドを 入 力 しま す (config)# acl disable ACL の 表 示 show acl コマンドを 使 用 して アクセス コントロール リストおよびその 句 を 表 示 します show acl コマンドは すべてのモードで 使 用 できます 回 線 に 適 用 された ACL 句 を 表 示 すると 次 の 項 目 が 示 されます Content Hits :フローとは クライアント / サーバ 間 の UDP および TCP パ ケットストリームとして 定 義 できます CSS が 完 全 にフローを 確 立 するに は クライアントおよびサーバから 多 数 のパケットを 受 信 する 必 要 がありま す フローが 完 全 に 確 立 される 前 に 受 信 するこれらのパケットは すべて ACL チェックを 受 ける 必 要 があります このため ACL コンテンツ ヒット カウンタが 増 加 することがあります Router Hits :TCP と UDP 以 外 のパケットはすべて ACL チェックを 受 ける 必 要 があるので ACL ルータ ヒット カウンタが 増 加 します CSS で 終 端 す るすべての UDP および TCP トラフィック(たとえば Telnet または FTP セッション)でも ACL ルータ ヒットカウンタが 増 加 します DNS Hits:ACL の 句 が DNS 問 い 合 せに 適 用 された 場 合 に ACL 句 に 一 致 し 通 過 した DNS フローのパケット 数 DNS ルックアップの 数 をカウントする DNS ヒット カウンタが 表 示 されます CSS が 受 信 したそれぞれのパケットの ACL ヒットの 合 計 数 は フロー タイプと ACL マッチの 有 無 によって 異 なります CSS は ACL のフローが 完 全 に 確 立 さ れるまで 受 信 したすべてのパケットに 対 して ACL のチェックを 実 行 します いったん ACL フローが 確 立 されると CSS は 受 信 したそのフローに 関 連 する 残 りのパケットに 対 して ACL チェックを 行 いません このため ACL ヒットのカウ ンタは 増 加 しません このコマンドのシンタックスは 次 のとおりです show acl :すべての ACL とその 句 を 表 示 する show acl index : 指 定 した ACL インデックス 番 号 の 句 を 表 示 する( 有 効 な 番 号 は 1 ~ 99) show acl config :ACL のグローバルな 設 定 を 表 示 する このコマンドでは どの ACL がどの 回 線 に 適 用 されているかが 示 されます 1-36

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 このコマンドは 次 のように 入 力 します (config)# show acl 2 表 1-3 に show acl コマンドで 表 示 されるフィールドを 示 します 表 1-3 show acl コマンドのフィールド フィールド 説 明 Acl ACL に 割 り 当 てられた 番 号 (1 ~ 99) Clause 句 に 割 り 当 てられた 番 号 (1 ~ 254) Action 着 信 トラフィックを 句 (permit deny または bypass) とそのトラフィック タイプのプロトコルで 制 御 する 方 式 Source 設 定 されたトラフィックの 送 信 元 Destination 設 定 されたトラフィックの 宛 先 Log 指 定 した 句 の ACL ロギングが 有 効 または 無 効 のどちら であるかを 示 します Content Hits フローが 確 立 されるまでに CSS が 受 信 したパケットの 増 分 カウント Router Hits Telnet または FTP セッションで あるいは TCP または UDP 以 外 のパケットから CSS に 直 接 転 送 されたパケッ トの 増 分 カウント DNS Hits DNS フローで ACL 句 に 一 致 するパケットの 増 分 カウン ト ACL カウンタ 表 示 の 0 への 設 定 zero counts コマンドを 使 用 して 特 定 の ACL に 対 して show acl コマンド 画 面 内 のコンテンツと DNS のヒット カウンタをゼロにリセットします このコマン ドを 実 行 するには ACL のモードに 入 っている 必 要 があります このコマンド では その ACL のカウンタだけがクリアされます このコマンドのシンタックスとオプションは 次 のとおりです (config-acl[7])# zero counts 1-37

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 ACL アクティビティのロギング ACL アクティビティをロギングするように 設 定 すると 句 と ACL に 一 致 するパ ケットのイベントがロギングされます ログ 情 報 は logging コマンドで 指 定 し た 場 所 に 送 信 されます logging コマンドの 詳 細 については Cisco Content Services Switch Administration Guide を 参 照 してください ( 注 ) ACL またはその 句 のロギングは お 勧 めしません ACL またはその 句 のロギン グを 有 効 にすると CSS のパフォーマンスが 低 下 する 可 能 性 があります 特 定 の ACL 句 にロギングを 設 定 する 前 に グローバルな ACL ロギングが 有 効 に なっていることを 確 認 してください グローバルな ACL ロギングを 有 効 にする には グローバル 設 定 モードで logging subsystem acl level debug-7 コマンドを 使 用 します CSS は clause log enable コマンドを 実 行 設 定 に 保 存 しないため CSS を 再 度 ブー トした 場 合 は ロギングを 再 度 有 効 にする 必 要 があります 既 存 の ACL 句 のロギングを 有 効 化 するには 次 のように clause コマンドに log enable オプションを 指 定 します (config-acl[7])# clause 1 log enable CSS で ACL をグローバルに 有 効 化 している 場 合 次 のように 既 存 の ACL 句 のロ ギングを 設 定 します 1. グローバル 設 定 モードで CSS のすべての ACL を 無 効 化 します (config)# acl disable 2. ロギングを 有 効 にする 対 象 の ACL モードに 入 ります (config)# acl 7 (config-acl[7])# 3. 回 線 から ACL を 削 除 します (config-acl[7]) remove circuit-(vlan1) 1-38

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 4. 既 存 の 句 のロギングを 有 効 にします (config-acl[7])# clause 1 log enable 5. ACL を 回 線 に 再 度 適 用 します (config-acl[7])# apply circuit-(vlan1) 6. グローバル 設 定 モードで CSS のすべての ACL を 再 度 有 効 化 します (config)# acl enable 特 定 の 句 の ACL ロギングを 無 効 にするには 次 のように 入 力 します 1. グローバル 設 定 モードで CSS のすべての ACL を 無 効 化 します (config)# acl disable 2. ロギングを 無 効 にする 対 象 の ACL モードに 入 ります (config)# acl 7 (config-acl[7])# 3. 回 線 から ACL を 削 除 します (config-acl[7]) remove circuit-(vlan1) 4. 既 存 の 句 のロギングを 無 効 にします (config-acl[7])# clause 1 log disable 5. ACL を 回 線 に 再 度 適 用 します (config-acl[7])# apply circuit-(vlan1) 6. グローバル 設 定 モードで CSS のすべての ACL を 再 度 有 効 化 します (config)# acl enable すべての ACL 句 のロギングをグローバルに 無 効 にするには 次 のように 入 力 し ます (config)# no logging subsystem acl 1-39

アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 第 1 章 ACL の 例 次 の ACL では 1 本 の VLAN (VLAN1)で CSS Server1 および Server2 にセキュ リティを 設 定 します この ACL は 次 のように 動 作 します サブネット 172.16.107.x からのクライアントに 対 し さまざまなアプリケー ション(Telnet FTP TFTP など)を 使 用 して VLAN1 の Server1 および Server2 にアクセスすることを 許 可 します サブネット 172.16.107.x からのクライアントに 対 し URL 172.16.107.35 (VIP アドレス)でブラウザを 起 動 することを 許 可 します 172.16.107.x 以 外 のサブネットにあるクライアントが VLAN1 Server1 Server2 にアクセスできないようにします 各 句 では 次 のセキュリティが 提 供 されます 句 20 では 送 信 元 のサブネット 172.16.107.0 から Server1 (IP アドレス 172.16.107.15)へのすべてのプロトコルを 許 可 します 句 30 では 送 信 元 のサブネット 172.16.107.0 から Server2 (IP アドレス 172.16.107.16)へのすべてのプロトコルを 許 可 します 句 40 では 送 信 元 のサブネット 172.16.107.0 から VIP アドレス 172.16.107.35 ポート 80(HTTP)へのすべてのプロトコルを 許 可 します 句 50 では キープアライブを 含 む Internet Control Message Protocol (ICMP; インターネット 制 御 メッセージ プロトコル)のすべてのトラフィックに 対 し VLAN への 双 方 向 通 信 を 許 可 します キープアライブ サービスを 使 用 し ている 場 合 は キープアライブ トラフィックを 許 可 する 句 を 設 定 する 必 要 があります 句 60 では UDP を 使 用 した VLAN のポート 520 への Routing Information Protocol(RIP; ルーティング 情 報 プロトコル)のアップデートを 許 可 します この 句 は 使 用 中 のルータが 172.16.107.x 以 外 のサブネットに 存 在 する 場 合 に 必 要 です 1-40

第 1 章 アクセス コントロール リストによる CSS ネットワーク トラフィックの 制 御 句 70 では ACL で 許 可 されていないすべてのトラフィックを 拒 否 します!**************************** ACL *************************** acl 1 clause 20 permit any 172.16.107.0 255.255.255.0 destination 172.16.107.15 clause 30 permit any 172.16.107.0 255.255.255.0 destination 172.16.107.16 clause 40 permit any 172.16.107.0 255.255.255.0 destination 172.16.107.35 eq 80 clause 50 permit ICMP any destination any clause 60 permit udp any destination any eq 520 clause 70 deny any any destination any apply circuit-(vlan1) 1-41

ACL へのネットワーク 修 飾 子 リストの 設 定 第 1 章 ACL へのネットワーク 修 飾 子 リストの 設 定 NQL 設 定 モードでは ネットワーク 修 飾 子 リスト(NQL)を 設 定 することがで きます NQL は IP アドレスおよびサブネット マスクにより 識 別 される ネッ トワークまたは 特 定 のサービスのリストです NQL は ACL 句 に 送 信 元 または 宛 先 として 割 り 当 てます 複 数 のネットワークを NQL にグループ 化 して その NQL を 1 つの ACL 句 に 割 り 当 てると そのグループにその 1 つの 句 を 作 成 する だけで 済 みます ネットワークごとに 個 別 の 句 を 作 成 する 必 要 はありません CSS では 次 のものを 最 大 512 個 まで 設 定 できます NQL あたりのネットワークまたはサービス CSS あたりの NQL この 機 能 は 特 定 のネットワークをバイパスしてコンテンツ 要 求 を 元 のサーバ (コンテンツが 保 存 されているサーバ)に 直 接 送 信 するキャッシング 環 境 などで 役 立 ちます また 特 定 のネットワークに 基 づいて あるサービスを 優 先 させる 場 合 にも NQL を 使 用 できます NQL 設 定 モードにアクセスするには nql コマンドを 使 用 します プロンプト は (config-nql [name]) に 変 わります NQL モードでこのコマンドを 使 用 して 他 の NQL にアクセスすることもできます NQL の 設 定 については 次 の 項 を 参 照 してください NQL の 作 成 NQL の 説 明 の 記 述 NQL へのネットワークの 追 加 ACL 句 への NQL の 追 加 NQL 設 定 の 表 示 1-42

第 1 章 ACL へのネットワーク 修 飾 子 リストの 設 定 NQL の 作 成 作 成 する 新 しい NQL または 既 存 の NQL の 名 前 を 入 力 します 名 前 は スペース を 含 まない 31 文 字 以 内 のテキスト 文 字 列 を 引 用 符 で 囲 まずに 入 力 します CSS ごとに 最 大 512 個 の NQL を 作 成 できます たとえば 次 のように 入 力 します (config)# nql bypass_nql (config-nql[bypass_nql])# 既 存 の NQL のリストを 表 示 するには nql? を 入 力 します NQL が 存 在 しない 場 合 は 新 しい 名 前 を 入 力 するよう 指 示 されます 既 存 の NQL を 削 除 するには no nql コマンドを 使 用 します たとえば 次 のよ うに 入 力 します (config)# no nql bypass_nql NQL の 説 明 の 記 述 NQL の 説 明 を 記 述 するには NQL モードで description コマンドを 使 用 します NQL の 説 明 は 63 文 字 以 内 のテキスト 文 字 列 を 引 用 符 で 囲 んで 入 力 します たとえば 次 のように 入 力 します (config-nql[bypass_nql])# description Bypass services NQL へのネットワークの 追 加 最 大 512 個 のネットワークまたはサービスを NQL に 追 加 するには ip address コマンドを 使 用 します IP アドレスを サブネット プレフィクスまたはサブネッ ト アドレスと 共 に 入 力 します 必 要 に 応 じて IP アドレスの 説 明 を 追 加 したり ロギングをオンにしたりすることもできます このコマンドのシンタックスおよびオプションは 次 のとおりです ip address ip_address[/subnet_prefix subnet_mask] { description }{log} 1-43

ACL へのネットワーク 修 飾 子 リストの 設 定 第 1 章 変 数 とオプションは 次 のとおりです ip_address : 宛 先 のネットワーク アドレス IP アドレスをドット 付 き 10 進 表 記 で 入 力 します( 例 192.168.0.0) subnet_prefix subnet_mask :CIDR ビット 数 表 記 の IP サブネット マスク プレ フィクス 長 (/16 など) 有 効 なプレフィクス 長 の 範 囲 は 8 ~ 32 です IP ア ドレスとプレフィクス 長 の 間 にはスペースを 入 れないでください subnet_mask :ドット 付 き 10 進 表 記 の IP サブネット マスク(たとえば 255.255.0.0) description :IP アドレスの 説 明 63 文 字 以 内 のテキスト 文 字 列 を 引 用 符 で 囲 んで 入 力 します log :NQL に 関 連 するイベントのログ このオプションを 入 力 しない 場 合 イベントのログは 記 録 されません NQL イベントのログを 記 録 するには グ ローバルな NQL ロギングを 有 効 にする 必 要 があります グローバルな NQL ロギングを 有 効 にするには (config) logging subsystem nql level debug-7 コマ ンドを 使 用 します ロギングの 詳 細 については Cisco Content Services Switch Administration Guide を 参 照 してください たとえば NQL bypass_nql に 2 つのネットワークを 追 加 するには 次 のように 入 力 します (config-nql[bypass_nql])# ip address 192.168.0.0/16 Network of dynamic mail content log (config-nql[bypass_nql])# ip address 123.123.123.0/24 ネットワークで 発 生 したイベントのログを 記 録 するには グローバルな NQL ロ ギングを 有 効 にする 必 要 があります たとえば 次 のように 入 力 します (config)# logging subsystem nql level debug-7 ( 注 ) エントリの 作 成 時 に 説 明 を 追 加 したり ロギング 機 能 を 有 効 にしないで これら の 作 業 を 後 で 行 う 場 合 は 最 初 にそのエントリを 削 除 してから 希 望 のオプショ ンを 指 定 してこのエントリを 再 度 追 加 してください 1-44

第 1 章 ACL へのネットワーク 修 飾 子 リストの 設 定 NQL から IP アドレスを 削 除 するには no ip address コマンドを 使 用 します 次 に 例 を 示 します (config-nql[bypass_nql])# no ip address 192.168.0.0/16 ACL 句 への NQL の 追 加 NQL を ACL 句 に 追 加 するには 次 の 手 順 に 従 います 1. ACL を 作 成 します たとえば 次 のように 入 力 します (config)# acl 10 2. 送 信 元 または 宛 先 として NQL を 含 む 句 を 定 義 します 次 の 句 の 例 では 任 意 の 送 信 元 から NQL bypass_nql で 定 義 された 宛 先 ネッ トワークのポート 80 に 発 信 されたトラフィックに 対 してコンテンツ ルール がバイパスされます (config-acl[10])# clause 1 bypass any any destination nql bypass_nql eq 80 NQL 設 定 の 表 示 NQL 設 定 の 情 報 を 表 示 するには show nql コマンドを 使 用 します このコマン ドのシンタックスは 次 のとおりです show nql :すべての NQL に 関 する 情 報 を 表 示 する NQL モードでこのコマ ンドを 入 力 すると 現 在 の NQL のアドレスだけが 表 示 されます show nql nql_name : 指 定 した NQL の 情 報 を 表 示 する NQL 名 は 大 文 字 小 文 字 を 区 別 したスペースを 含 まないテキスト 文 字 列 を 引 用 符 で 囲 まずに 入 力 します 既 存 の NQL 名 のリストを 表 示 するには show nql? コマンドを 使 用 します たとえば 次 のように 入 力 します (config-nql[bypass_nql])# show nql 1-45

ACL へのネットワーク 修 飾 子 リストの 設 定 第 1 章 表 1-4 に show nql コマンドで 表 示 されるフィールドを 示 します 表 1-4 show nql コマンドのフィールド フィールド Name Description IP Addresses 説 明 NQL の 名 前 NQL に 関 連 付 けられている 説 明 NQL でサポートされる IP アドレスとサブネット マスク 説 明 が 設 定 されている 場 合 アドレスの 後 に 説 明 が 表 示 されます 1-46