CLI – こ の例では、 ポー ト 4 の 802.1X 統計情報を表示 し ています。
管理ア ク セス用の IP ア ド レ スの フ ィ ル タ リ ン グ
ウ ェ ブ イ ン タ ー フ ェ ース、SNMP、 または Telnet によ る ス イ ッ チへのア ク セ ス を許可する IP ア ド レ ス ま たは IP ア ド レ ス グループ を最大 16 個作成 し ます。
コ マ ン ド の使用
• デ フ ォ ル ト では、 管理イ ン タ ー フ ェ ースはすべての IP ア ド レ スに開かれています。 フ ィ ル タ リ ス ト にエ ン ト リ を追加する と 、 そのイ ン タ ー フ ェ ースへのア ク セ スは指定 し たア ド レ スに制限 さ れます。
• 無効な ア ド レ スか ら ス イ ッ チ上の管理イ ン タ ー フ ェ ースにア ク セ ス し よ う と し た場合、 ス イ ッ チによ っ て接続が拒否 さ れます。 また、 イ ベン ト メ ッ セージがシ ス テム ログに記録 さ れ、 ト ラ ッ プ メ ッ セージが ト ラ ッ プ マネージ ャ に送信 さ れます。
• IP ア ド レ スは SNMP、 ウ ェ ブ、 および Telnet ア ク セ ス用に個別に構成で き ます。 こ れら の 各グループには個々のア ド レ ス またはア ド レ ス範囲を最大 5 つ追加で き ます。
• 同 じ グループ (SNMP、 ウ ェ ブ、 または Telnet) のア ド レ ス を入力する際は、 重複 し たア ド レ ス範囲を指定する こ と はで き ません。 グループが異な っ ていれば、 ア ド レ ス範囲が重 複 し ていて も 構いません。
• 指定 し た範囲か ら 個々のア ド レ ス を削除する こ と はで き ません。 範囲全体を削除 し 、 ア ド レ ス を再入力する必要があ り ます。
• ア ド レ ス範囲を削除する には、 開始ア ド レ ス を指定するか、 開始ア ド レ ス と 終了ア ド レ ス を両方指定 し ます。
コ マ ン ド 属性
• 「Web IP Filter」 – ウ ェ ブ グループの IP ア ド レ ス を構成 し ます。
• 「SNMP IP Filter」 – SNMP グループの IP ア ド レ ス を構成 し ます。
• 「Telnet IP Filter」 – Telnet グループの IP ア ド レ ス を構成 し ます。
• 「IP Filter List」 – このイ ン タ ー フ ェ ースへの管理ア ク セス を許可する IP ア ド レ ス
• 「Start IP Address」 – 単一の IP ア ド レ ス または範囲の開始ア ド レ ス
• 「End IP Address」 – 範囲の終了ア ド レ ス
Console#show dot1x statistics interface ethernet 1/4 4-85 Eth 1/4
Rx: EAPOL EAPOL EAPOL EAPOL EAP EAP EAP Start Logoff Invalid Total Resp/Id Resp/Oth LenError 2 0 0 1007 672 0 0 Last Last
EAPOLVer EAPOLSrc
1 00-00-E8-98-73-21 Tx: EAPOL EAP EAP Total Req/Id Req/Oth 2017 1005 0 Console#
ウ ェ ブ – 「Security」 、 「IP Filter」 の順に ク リ ッ ク し ます。 イ ン タ ー フ ェ ースへの管理ア ク セ ス を許可する IP ア ド レ ス ま たはア ド レ ス範囲を入力 し 、 「Add IP Filtering Entry」 を ク リ ッ ク し て フ ィ ル タ リ ス ト を更新 し ます。
図3-34. ウ ェ ブ IP フ ィ ル タ リ ス ト の作成
CLI – こ の例では、 特定ク ラ イ ア ン ト に SNMP ア ク セス を許可 し ています。
Console(config)#management snmp-client 10.1.2.3 4-28 Console(config)#end
Console#show management all-client Management IP Filter
HTTP-Client:
Start IP address End IP address
---1. 10.---1.2.1 10.---1.2.254
SNMP-Client:
Start IP address End IP address
---1. 10.---1.2.3 10.---1.2.3
TELNET-Client:
Start IP address End IP address
---Console#
ACL (ア ク セス制御 リ ス ト )
ア ク セス制御 リ ス ト (ACL) に よ り 、IP フ レ ーム (ア ド レ ス、 プ ロ ト コ ル、 レ イ ヤー 4 プ ロ ト コル ポー ト 番号、 ま たは TCP 制御 コ ー ド に基づ く ) または任意の フ レーム (MAC ア ド レ ス またはイ ーサネ ッ ト タ イ プに基づ く ) のパケ ッ ト を フ ィ ル タ リ ングで き ます。 着信パケ ッ ト を フ ィ ル タ リ ングする には、 まずア ク セス リ ス ト を作成 し 、 必要なルールを追加 し て、 こ の リ ス ト を特定のポー ト にバイ ン ド し ます。
ア ク セス制御 リ ス ト の構成
ACL は、IP ア ド レ ス、MAC ア ド レ ス、 ま たはよ り 限定的な基準に適用 さ れる許可ま たは拒 否条件のシーケ ン シ ャル リ ス ト です。こ のス イ ッ チでは ACL の条件に従っ て イ ング レ ス また はイ グ レ ス パケ ッ ト が 1 つずつテ ス ト さ れます。 許可ルールに合致 し たパケ ッ ト は即座に受 理 さ れ、 拒否ルールに合致 し たパケ ッ ト は即座に破棄 さ れます。 ま た、 どの許可ルールに も 合致 し ないパケ ッ ト は破棄 さ れ、 どの拒否ルールに も合致 し ないパケ ッ ト は受理 さ れます。
コ マ ン ド の使用
ACL には次の制約が適用 さ れます。
• 各 ACL は最大 32 個のルールで構成で き ます。
• ACL の最大数は 88 個です。
• ただ し 、 リ ソ ースの制約上、 ポー ト にバイ ン ド するルールの平均数が 20 個を超えないよ う に し て く だ さ い。
• こ のス イ ッ チではイ ング レ ス フ ィ ル タ リ ング用の ACL のみがサポー ト さ れます。 ただ し 、 イ ング レ ス フ ィ ル タ リ ングのために各ポー ト にバイ ン ド で き る IP ACL は 1 つのみで、 グ ローバルに適用で き る MAC ACL は 1 つのみです。 すなわち、1 つのイ ン タ ー フ ェ ースに は、 イ ング レ ス IP ACL と イ ング レ ス MAC ACL の 2 つの ACL のみをバイ ン ド で き ます。
ア ク テ ィ ブ な ACL のチ ェ ッ ク 順序は次の と お り です。
1. イ ング レ ス ポー ト のイ ン グ レ ス MAC ACL に含まれるユーザー定義のルール 2. イ ング レ ス ポー ト のイ ン グ レ ス IP ACL に含まれるユーザー定義のルール 3. イ ング レ ス ポー ト のイ ン グ レ ス IP ACL に含まれる明示的なデ フ ォ ル ト ルール
(permit any any)
4. イ ング レ ス ポー ト のイ ン グ レ ス MAC ACL に含まれる明示的なデ フ ォル ト ルール
(permit any any)
5. どの明示的ルールに も合致 し ない場合の暗黙的デ フ ォ ル ト は permit all です。
ACL
の名前お よび タ イ プの設定ACL の名前および タ イ プ を指定するには、 「ACL Configuration」 ページ を使用 し ます。
コ マ ン ド 属性
• 「Name」 – ACL の名前 (最大長: 16 文字)
• 「Type」 – 次の 3 つのフ ィ ル タ リ ング モー ド があ り ます。
- 「Extended」: 送信元または宛先 IP ア ド レ スのほか、 プ ロ ト コ ル タ イ プおよびプ ロ ト コ ル ポー ト 番号に基づいてパケ ッ ト を フ ィ ル タ リ ングする IP ACL モー ド 。 「TCP」 プ ロ ト コ ルが指定 さ れている場合、TCP 制御 コ ー ド に基づ く パケ ッ ト の フ ィ ル タ リ ン グ も可能 です。
- 「MAC」 : 送信元または宛先 MAC ア ド レ スおよび イ ーサネ ッ ト フ レーム タ イ プ
(RFC 1060) に基づいてパケ ッ ト を フ ィ ル タ リ ングする MAC ACL モー ド
ウ ェ ブ – 「Security」、 「ACL」、 「Configuration」 の順に ク リ ッ ク し ます。 「Name」 フ ィ ール ド に ACL 名を入力 し 、 リ ス ト タ イ プ (「Standard」、 「Extended」、 または 「MAC」) を選択 し ま す。 次に、 「Add」 を ク リ ッ ク し て、 新規 リ ス ト の構成ページ を開き ます。
図3-35. ACL タ イ プの選択
CLI – こ の例では、david と い う 名前の標準 IP ACL を作成 し ています。
標準 IP ACL の構成 コ マ ン ド 属性
• 「Action」 – ACL には許可ルールまたは拒否ルールを自由に組み合わせて追加で き ます。
• 「Address Type」 – 送信元 IP ア ド レ ス を指定 し ます。 すべてのア ド レ ス を含めるには
「Any」、「Address」 フ ィ ール ド に特定のホス ト ア ド レ ス を指定するには 「Host」、「Address」
および 「SubMask」 フ ィ ール ド で ア ド レ ス範囲を指定するには 「IP」 を使用 し ます
(オプ シ ョ ン: 「Any」、 「Host」、 「IP」、 デ フ ォ ル ト: 「Any」)。
• 「IP Address」 – 送信元 IP ア ド レ ス
• 「Subnet Mask」 – ピ リ オ ド で区切ら れた 0 ~ 255 の 4 つの整数で構成 さ れるサブ ネ ッ ト マ ス ク 。 マス ク では 1 ビ ッ ト によ っ て 「合致」 、0 ビ ッ ト によ っ て 「無視」 が示 さ れます。
マ ス ク は指定 さ れた送信元 IP ア ド レ ス と ビ ッ ト ワ イ ズ AND 演算 さ れ、こ の ACL が割 り 当 て られているポー ト に着信する各 IP パケ ッ ト のア ド レ ス と 比較 さ れます。
ウ ェ ブ – ア ク シ ョ ン ( 「Permit」 または 「Deny」 ) を指定 し ます。 ア ド レ ス タ イ プ ( 「Any」 、
「Host」 、 または 「IP」 ) を選択 し ます。 「Host」 を選択 し た場合、 特定のア ド レ ス を入力 し ま す。 「IP」 を選択 し た場合、 サブ ネ ッ ト ア ド レ ス と マス ク を入力 し て ア ド レ ス範囲を指定 し ま す。 次に、 「Add」 を ク リ ッ ク し ます。
Console(config)#access-list ip standard david 4-89 Console(config-std-acl)#
図3-36. ACL の構成 - 標準 IP
CLI – こ の例では、 特定ア ド レ ス 10.1.1.21 に対 し て 1 つの許可ルールを構成 し 、 ビ ッ ト マス ク を使用 し て 168.92.16.x ~ 168.92.31.x のア ド レ ス範囲に対 し て別のルールを構成 し て い ます。
拡張
IP ACL
の構成 コ マ ン ド 属性• 「Action」 – ACL には許可ルールまたは拒否ルールを自由に組み合わせて追加で き ます。
• 「Source/Destination Address Type」 – 送信元ま たは宛先 IP ア ド レ ス を指定 し ます。すべ てのア ド レ ス を含めるには 「Any」、 「Address」 フ ィ ール ド に特定のホス ト ア ド レ ス を指定 するには 「Host」 、 「Address」 および 「SubMask」 フ ィ ール ド で ア ド レ ス範囲を指定する には 「IP」 を使用 し ます (オプ シ ョ ン: 「Any」、 「Host」、 「IP」、 デ フ ォ ル ト: 「Any」)。
• 「Source/Destination Address」 – 送信元ま たは宛先 IP ア ド レ ス
• 「Source/Destination Subnet Mask」 – 送信元または宛先ア ド レ スのサブ ネ ッ ト マ ス ク
(3-57ページの 「Subnet Mask」 の説明を参照)
• 「Service Type」 – 次の基準に基づ く パケ ッ ト プ ラ イ オ リ テ ィ 設定 - 「Precedence」 – IP 優先度レ ベル (範囲: 0 ~ 7)
- 「TOS」 – タ イ プ オブ サービ ス レ ベル (範囲: 0 ~ 15)
- 「DSCP」 – DSCP プ ラ イ オ リ テ ィ レ ベル (範囲: 0 ~ 63)
• 「Protocol」 – 合致 さ せる プ ロ ト コル タ イ プ を 「TCP」、 「UDP」、 または 「Others」 と し て Console(config-std-acl)#permit host 10.1.1.21 4-90 Console(config-std-acl)#permit 168.92.16.0 255.255.240.0
Console(config-std-acl)#
• 「Source/Destination Port」 – 指定 し た プ ロ ト コ ル タ イ プの送信元/宛先ポー ト 番号
(範囲: 0 ~ 65535)
• 「Control Code」 – TCP ヘ ッ ダーの 14 バイ ト 目の フ ラ グ ビ ッ ト を指定する (ビ ッ ト 文字列 を表す) 10 進数 (範囲: 0 ~ 63)
• 「Control Code Bitmask」 – 合致 さ せる コ ー ド ビ ッ ト を表す 10 進数
制御ビ ッ ト マス クは、 制御 コ ー ド に適用 さ れる (同等のバイ ナ リ ビ ッ ト マス ク に対する)
10 進数です。10 進数を入力 し ます。 同等のバイ ナ リ ビ ッ ト 「1」 はビ ッ ト の合致を示 し 、
「0」 はビ ッ ト の無視を示 し ます。 次のビ ッ ト を指定で き ます。
- 1 (fin) – 終了 - 2 (syn) – 同期 - 4 (rst) – リ セ ッ ト - 8 (psh) – プ ッ シ ュ - 16 (ack) – 肯定応答 - 32 (urg) – 緊急ポ イ ン タ
た と えば、 次のフ ラ グ セ ッ ト を持つパケ ッ ト を捕捉するには、 次の コ ー ド 値 と マス ク を使 用 し ます。
- SYN フ ラ グが有効な場合、 制御コ ー ド 2、 制御ビ ッ ト マス ク 2 を使用
- SYN および ACK が両方有効な場合、 制御 コ ー ド 18、 制御ビ ッ ト マス ク 18 を使用 - SYN が有効で ACK が無効な場合、 制御 コ ー ド 2、 制御ビ ッ ト マス ク 18 を使用 ウ ェ ブ – ア ク シ ョ ン (「Permit」 ま たは 「Deny」) を指定 し ます。 送信元または宛先ア ド レ ス、
あるいはその両方を指定 し ます。 ア ド レ ス タ イ プ (「Any」、 「Host」、 または 「IP」) を選択 し ます。 「Host」 を選択 し た場合、 特定のア ド レ ス を入力 し ます。 「IP」 を選択 し た場合、 サブ ネ ッ ト ア ド レ ス と マス ク を入力 し て ア ド レ ス範囲を指定 し ます。 サービ ス タ イ プ、 プ ロ ト コ ル タ イ プ、TCP 制御 コ ー ド な ど、 必要なその他の基準を設定 し ます。 次に、 「Add」 を ク リ ッ ク し ます。
図3-37. ACL の構成 - 拡張 IP