VACL IP IPX 3 MAC VACL VLAN VLAN VACL VLAN VACL VLAN Catalyst 6000 ACL IOS ACL IOS ACL MSFC PFC VACL QoS ACL MSFC PFC VACL QoS ACL QoS Catalyst 6000 F

ACL

_{（アクセス制御リスト）の設定}

この章では、Catalyst 6000ファミリー・スイッチ上で ACL を設定する方法について説明します。 ACL

の設定は、スーパバイザ・エンジンに搭載しているハードウェアのタイプによって異なります。詳 細については、「ハードウェア要件」（p.7-2）を参照してください。 この章で説明する内容は、次のとおりです。

•

ACLの概要（p.7-1）

•

ハードウェア要件（p.7-2）

•

サポートされる ACL（p.7-2）

•

サポートされる ACE（アクセス制御エントリ）（p.7-3）

•

VLANでの IOS ACL および VACL（VLAN ACL）の適用（p.7-5）

•

ネットワークでの IOS ACL の使用（p.7-6）

•

VACLを IOS ACL と組み合わせて使用する場合（p.7-9）

•

ネットワークでの VACL の使用（p.7-14）

•

サポートされない機能（p.7-18）

•

VACLの設定（p.7-19）

•

フラッシュ・メモリでの ACL の設定および保管（p.7-30）

ACL

の概要

の概要

の概要

の概要

スイッチは従来、レイヤ 2 だけで動作していました。スイッチは VLAN 内のトラフィックをスイッチ ングし、ルータが VLAN 間のトラフィックをルーティングしていました。MSFC（マルチレイヤ・ス イッチ・フィーチャ・カード）を搭載した Catalyst 6000ファミリー・スイッチは、レイヤ 3スイッチ ング（MLS [ マルチレイヤ・スイッチング ]）を使用することにより、VLAN 間のパケット・ルーティ ングを高速化できます。まず、スイッチによってブリッジングされたパケットが、ルータを経由し ないで内部でルーティングされてから、再びブリッジングされて宛先に送信されます。この間、ス イッチは VLAN 内でブリッジングされるパケットを含め、スイッチングするすべてのパケットのア クセスを制御できます。

IOS ACLが VLAN間でルーティングされたトラフィックのアクセスを制御し、VACL（VLAN ACL） がすべてのパケットをアクセス制御します。

標準および拡張 IOS ACL を使用して、パケットが分類されます。分類されたパケットは、アクセス

制御（セキュリティ）、暗号化、ポリシー・ルーティングなど、さまざまな機能を適用できます。標

準および拡張 IOS ACL は、ルータ・インターフェイス上に限って設定され、ルーティングされたパ ケットに適用されます。

ハードウェア要件 ハードウェア要件 ハードウェア要件 ハードウェア要件

VACLは、IP および IPX プロトコルに対応するレイヤ 3 アドレスに基づいて、アクセス制御を実行で

きます。サポートされないプロトコルは、MAC アドレスを使用してアクセス制御されます。VACL は、すべてのパケット（ブリッジングされたものおよびルーティングされたもの）に適用され、任 意の VLAN インターフェイス上で設定できます。VLAN 上で VACL を設定すると、その VLAN に入 るすべてのパケット（ブリッジングされたものまたはルーティングされたもの）が VACL と突き合 わせてチェックされます。パケットはスイッチ・ポートから VLAN に入ることも、ルーティング後 にルータ・ポートから入ることもできます。

ハードウェア要件

ハードウェア要件

ハードウェア要件

ハードウェア要件

Catalyst 6000ファミリー・スイッチ上で ACL を設定するために必要なハードウェアは、次のとおり です。

•

IOS ACL ― IOS ACL の設定には MSFC（ルータ）および PFC（ポリシー・フィーチャ・カード） が必要です。

•

VACLおよび QoS ACL ― MSFC がなくても PFC を使用して、VACL および QoS（サービス品質）

ACLを設定できます。 （注）  （注）  （注）  （注） スイッチ上でサポートされる QoS フィーチャ・セットは、スーパバイザ・エンジンに搭載さ れているスイッチング・エンジン・ドータカードによって決まります。詳細については、『Catalyst 6000

Family Software Configuration Guide』を参照してください。

サポートされる

サポートされる

サポートされる

サポートされる

ACL

ここでは、Catalyst 6000 ファミリー・スイッチによってサポートされる ACL について説明します。具 体的には IOS ACL、VACL、および QoS ACL です。

IOS ACL

IOS ACLは、MSFC（ルータ）の VLAN インターフェイス上で設定します。この ACL はアクセス制 御機能を提供し、順番に並べられた 1 組の ACE（アクセス制御エントリ）で構成されます。IOS の多 くの機能が、フローの指定に ACL を使用します。たとえば、Web Cache Redirect（WCCP [Web Cache

Coordination Protocol]を使用する）の場合、ACL を使用して Webキャッシュ・エンジンに転送できる

HTTPフローを指定します。 大部分の IOS 機能は、特定の方向（着信または発信）のインターフェイス上で適用されます。しか し、一部の機能では、ACL をグローバルに使用します。このような機能の場合、特定の方向のすべ てのインターフェイス上で ACL が適用されます。たとえば、TCP インターセプトでは、グローバル ACLを使用し、発信方向のすべてのインターフェイス上で適用されるグローバルACLを使用します。 1つの IOS ACL を特定のインターフェイスに対応する複数の機能で使用できます。また、1つの機能

で複数の ACL を使用できます。複数の機能で 1 つの ACL を使用する場合、IOS はその ACL を複数回 に渡って検証します。

IOSは、特定インターフェイスの特定方向に設定された機能と対応する ACL を検証します。パケッ

トが特定のインターフェイスからルータに入ると、IOSがそのインターフェイスに設定されているす

パケットのルーティング後、次のホップへ転送する前に、IOS は出口インターフェイスに設定された 発信機能と対応するすべての ACL を検証し、下記を調べます。

•

発信アクセス制御 ACL（標準、拡張、リフレクティブ、またはそのすべて）

•

暗号化 ACL（MSFC 上ではサポートされません）

•

NAT ACL（内部から外部への変換用）

•

WCCP ACL

•

TCPインターセプト ACL

VACL

VACLは、すべてのトラフィックのアクセス制御を行うことができます。スイッチ上で VACL を設 定すると、VLAN との間で双方向にルーティングされるパケット、または VLAN 内でブリッジング されるパケットなど、すべてのパケットに適用されます。VACL は、セキュリティ・パケット・フィ ルタリングを厳格に行い、特定の物理スイッチ・ポートにトラフィックを転送するためのものです。

VACLは IOS ACL と異なり、方向（入力または出力）では定義されません。

IPおよびIPXのレイヤ3アドレスにVACLを設定できます。その他のプロトコルはすべて、MAC VACL

を使用して、MAC アドレスおよびイーサネット・タイプによってアクセス制御されます（IP および

IPXトラフィックは、MAC VACL によるアクセス制御は行われません）。VACL を実施できるのは、

Catalyst 6000ファミリー・スイッチを通過するパケットに対してだけです。Catalyst 6000ファミリー・ スイッチに接続されているハブまたは別のスイッチ上のホスト間のトラフィックに VACL を実施す ることはできません。

QoS ACL

スイッチ上で QoS ACL を設定できます。詳細については、『Catalyst 6000 Family Software Configuration

Guide』を参照してください。

サポートされる

サポートされる

サポートされる

サポートされる

ACE

（アクセス制御エントリ）

（アクセス制御エントリ）

（アクセス制御エントリ）

（アクセス制御エントリ）

ACLには、順序づけられた ACE のリストがあります。各 ACE には一連のフィールドがあり、その

フィールドとパケットの内容が照合されます。各フィールドには、関連ビットを示すビット・マス クが対応づけられていることがあります。ACE ごとに、一致した場合にシステムがパケットをどの ように処理するかを記述したアクションが対応づけられます。アクションは機能に依存します。 Catalyst 6000ファミリー・スイッチは、ハードウェアで次の 3種類のACE をサポートします。

•

IP ACE

•

IPX ACE

•

イーサネット ACE

ACE

のタイプおよびパラメータ

1つの ACL に収めることができる ACE は 1 種類だけです。表 7-1 は、各 ACE タイプに対応するパラ

サポートされる サポートされる サポートされる サポートされるACE（アクセス制御エントリ）（アクセス制御エントリ）（アクセス制御エントリ）（アクセス制御エントリ）

分割されたトラフィックおよび分割されていないトラフィックの処理

ACEのレイヤ 4パラメータは、分割されていないトラフィックと、オフセット 0 のフラグメントで分 割されたトラフィックをフィルタリングできます。offset ! = 0 の IP フラグメントは、レイヤ 4 ポート 情報が欠落しているので、フィルタリングできません。次に、ACE でパケット分割を処理する例を 示します。

Console> (enable) redirect 4/3 tcp host 1.1.1.1 eq 68 host 255.255.255.255

1.1.1.1ポート 68 からのトラフィックが分割されると、次のように、最初のフラグメントだけがポー ト 4/3へ送られ、ポート 68からの残りのトラフィックは、このエントリとヒットしません。

Console> (enable) permit tcp host 1.1.1.1 eq 68 host 2.2.2.2 eq 34

1.1.1.1ポート 68 を発信元、2.2.2.2 ポート 34 を宛先とするトラフィックは許可されます。パケットが 分割されると、最初のフラグメントがこのエントリとヒットして許可され、offset ! = 0のフラグメン トも、次のように、フラグメントのデフォルトの結果として許可されます。 表 表 表 表 7-1 ACEのタイプおよびパラメータのタイプおよびパラメータのタイプおよびパラメータのタイプおよびパラメータ ACEのののの タイプ タイプ タイプ タイプ TCPまたはまたはまたはまたは UDP1 1 IP ACE

IGMP1 ICMP1 その他のその他のその他のその他のIP1 IPX イーサネットイーサネットイーサネットイーサネット2

2 イーサネット・パケットが IP バージョン 4 でも IPX でもない場合。 レイヤ 4 パラメータ 送信元ポート 送信元ポート 演算子 宛先ポート 宛先ポート 演算子 ICMPコード3 3 ICMPのエコー応答はフィルタリングできません。その他の ICMP コード／タイプはすべて、フィルタリング可能です。 該当しない IGMP4メッセー ジ・タイプ 4 IGMPトラフィックをフィルタリングできるのは、スイッチ上で IGMP スヌーピングがイネーブルでない場合に限られます。 ICMPタイプ 該当しない レイヤ 3 パラメータ

IP ToSバイト IP ToSバイト IP ToSバイト IP ToSバイト

IP送信元 アドレス IP送信元 アドレス IP送信元 アドレス IP送信元 アドレス IPX送信元 ネットワーク IP宛先 アドレス IP宛先 アドレス IP宛先 アドレス IP宛先 アドレス IPX宛先 ネットワーク IPX宛先ノード TCPまたは UDP IGMP ICMP その他の プロトコル IPXパケット・ タイプ レイヤ 2 パラメータ イーサネット・ タイプ イーサネット 送信元 アドレス イーサネット 宛先アドレス

VLAN

での

での

での

での

IOS ACL

および

および

および

および

VACL

（

（

（

（

VLAN ACL

）の適用

）の適用

）の適用

）の適用

ここでは、ブリッジングされたパケット、ルーティングされたパケット、およびマルチキャスト・ パケットに対し、VLAN に IOS ACL および VACL を適用する方法について説明します。

ブリッジングされたパケット

図 7-1 に、ブリッジングされたパケットで ACL がどのように適用されるかを示します。ブリッジン グされたパケットの場合、レイヤ2 の ACL だけが入力 VLANに適用されます。 図 図 図 図 7-1 ブリッジングされたパケットでのブリッジングされたパケットでのブリッジングされたパケットでのブリッジングされたパケットでのACLの適用の適用の適用の適用

ルーティングされたパケット

図 7-2 に、ルーティングされたパケットまたはレイヤ 3 スイッチド・パケットで、ACL がどのように 適用されるかを示します。ルーティング／レイヤ 3スイッチング・パケットの場合、次の順序で ACL が適用されます。 1 入力 VLAN 用の VACL 2 入力 IOS ACL 3 出力 IOS ACL 4 出力 VLAN 用の VACL 図 図 図 図 7-2 ルーティングされたパケットでのルーティングされたパケットでのルーティングされたパケットでのルーティングされたパケットでのACLの適用の適用の適用の適用 26961 26964

ネットワークでの ネットワークでの ネットワークでの ネットワークでのIOS ACLの使用の使用の使用の使用

マルチキャスト・パケット

図 7-3 に、マルチキャスト拡張が必要なパケットで ACL がどのように適用されるかを示します。マ ルチキャスト拡張が必要なパケットの場合、次の順序で ACL が適用されます。 1 マルチキャスト拡張が必要なパケット

(a) 入力 VLAN 用の VACL (b) 入力 IOS ACL

2 マルチキャスト拡張後のパケット

(a) 出力 IOS ACL

(b) 出力 VLAN 用の VACL

3 ルータを起点とするパケット

(a) 出力 VLAN 用の VACL

図 図 図 図 7-3 マルチキャスト・パケットでのマルチキャスト・パケットでのマルチキャスト・パケットでのマルチキャスト・パケットでのACLの適用の適用の適用の適用

ネットワークでの

ネットワークでの

ネットワークでの

ネットワークでの

IOS ACL

の使用

の使用

の使用

の使用

（注）  （注）  （注） 

（注） Catalyst 6000ファミリー・スイッチ上で、ルーティングされた VLAN インターフェイスに IOS

ACLを設定する手順は、他の Cisco ルータ上で ACL を設定する場合と同じです。IOS ACL を設定す

る場合には、「サポートされない機能」（p.7-18）および「VACL 設定時のガイドライン」（p.7-19）を

参照してください。さらに、Cisco IOS のコンフィギュレーション・ガイドおよびコマンド・リファ

レンスを参照してください。たとえば、ACL を IP 対応として設定する場合には、『Network Protocols

Configuration Guide』Part 1 の「Configuring IP Services」を参照してください。

トラフィックを処理するために、ルータ上で機能（NAT など）を設定すると、その機能に対応づけ られた IOS ACL によって、レイヤ 3 スイッチングを行うのではなく、ルータにブリッジングする具 体的なトラフィックが決定されます。その後、ルータがその機能を適用し、パケットを正しくルー ティングします。ただし、「ハードウェアおよびソフトウェアによる IOS ACL の処理」（p.7-7）で説 明されているとおり、このプロセスにはいくつか例外があります。 （注）  （注）  （注） 

（注） 冗長 MSFC 構成のシステムでは、IOS ACL と VACL の ACL コンフィギュレーションを両方

の MSFC で一致させる必要があります。

注意  注意  注意 

注意 デフォルトの設定では、アクセス・グループによってパケットが拒否されると、ルータが

ICMP（Internet Control Message Protocol）到達不能メッセージを送信します。このようにアクセス・ グループによって拒否されたパケットは、ハードウェアでは廃棄されませんが、ルータにブリッジ ングされるので、ルータで ICMP 到達不能メッセージを生成できます。アクセス・グループによっ て拒否されたパケットをハードウェアで廃棄するには、no ip unreachables インターフェイス・コン フィギュレーション・コマンドを使用して、ICMP 到達不能メッセージをディセーブルにする必要が あります。ip unreachables コマンドは、イネーブルがデフォルトの設定です。

ハードウェアおよびソフトウェアによる

IOS ACL

の処理

ACL機能の処理では、一部のフローをソフトウェアに転送する必要があります。ソフトウェアに転 送されるフローの転送速度は、ハードウェアに転送されるフローよりかなり遅くなります。ACL に よって指定されたログ収集が必要なフローは、ソフトウェアで処理され、ハードウェアでの非ログ・ フロー転送には影響を与えません。 （注）  （注）  （注）  （注） show ip access-list コマンドを入力したときに表示される一致数には、ハードウェアでアクセ ス制御されるパケットは含まれません。 （注）  （注）  （注） 

（注） 送信元ホスト・ノード番号が指定されている IPX IOS ACL は、ハードウェアではスイッチ上

で実施できません。MSFC がソフトウェアでこの ACL を処理しなければなりません。このプロセス により、システム・パフォーマンスが大幅に低下します。

セキュリティ

IPおよび IPX のセキュリティ ACL は、次のとおりです。

•

セキュリティACL 内の [deny] ステートメントと一致するフローは、[ip unreachables]がディセーブ

ルの場合に、ハードウェアによって廃棄されます。[permit] ステートメントと一致するフローは、 ハードウェアでスイッチングされます。

•

セキュリティ・アクセス制御に関する標準および拡張 ACL（入力および出力）の許可アクション および拒否アクションは、ハードウェアで処理されます。

•

特定のインターフェイス上の ACL アクセス違反に対応する IP アカウンティングは、そのインター フェイスの拒否パケットをすべてソフトウェアに転送することによってサポートされます。他の フローが影響を受けることはありません。

•

ダイナミック ACL フローはハードウェアでサポートされますが、アイドル・タイムアウトはサ ポートされません。

ネットワークでの ネットワークでの ネットワークでの

ネットワークでのIOS ACLの使用の使用の使用の使用

•

IPX標準入出力 ACL は、ACLパラメータが IPX 送信元ネットワーク、宛先ネットワーク、宛先ノー

ド、またはそのすべての場合にハードウェアでサポートされます。ACL に他のパラメータが指定 されている場合、その ACL はソフトウェアで処理されます。

•

IPX拡張入出力 ACL は、ACLパラメータが IPX 送信元ネットワーク、宛先ネットワーク、宛先ノー

ド、プロトコル・タイプ、またはそのすべての場合にハードウェアでサポートされます。

•

ログ収集が必要な ACL フローは、ソフトウェアで処理され、ハードウェアでの非ログ・フロー転 送には影響を与えません。

リフレクシブ

ACL

最大 512 の同時リフレクシブ・セッションがハードウェアでサポートされます。

TCP

インターセプト

TCPインターセプトが必要なフローは、ソフトウェアで処理され、ハードウェアでの非 TCP インター セプト・フロー転送には影響を与えません。

ポリシー・ルーティング

ポリシー・ルーティングが必要なフローは、ソフトウェアで処理され、ハードウェアでの非ポリ シー・ルーティング・フロー転送には影響を与えません。ルート・マップに複数の [match] 文節が指 定されている場合、これらの match文節によって生じたすべての条件を満たさないかぎり、パケット のポリシー・ルーティングは行われません。ただし、[match ip address] と [match length] の両方が指定 されているルート・マップの場合、match length 条件とは関係なく、[match ip address] の ACL と一致 するすべてのトラフィックがソフトウェアに転送されます。match length文節だけが指定されている ルート・マップの場合、インターフェイスで受信したすべてのパケットがソフトウェアに転送され ます。 mls ip pbrグローバル・コマンドでハードウェア・ポリシー・ルーティングをイネーブルにすると、 すべてのポリシー・ルーティングがハードウェアで行われます。 注意  注意  注意  注意 mls ip pbr コマンドを使用してポリシー・ルーティングをイネーブルにすると、インターフェ イスがポリシー・ルーティング対象として設定されているかどうかに関係なく、すべてのインター フェイスにハードウェアでポリシー・ルーティングが行われます。

WCCP

（

Web Cache Coordination Protocol

）

WCCP転送を条件とする HTTP（Hypertext Transfer Protocol）要求は、ソフトウェアで処理されます。

サーバおよびキャッシュ・エンジンによる HTTP 応答は、ハードウェアで処理されます。

NAT

（ネットワーク・アドレス変換）

NATが必要なフローはソフトウェアで処理され、ハードウェアでの非 NAT フロー転送には影響を与

ユニキャスト

RPF

チェック

ユニキャスト RPF チェックは、RPF 対応インターフェイスで受信したすべての着信レイヤ 3ユニキャ スト・トラフィックをソフトウェアで転送することによってサポートされます。

ブリッジ・グループ

IOSブリッジ・グループ ACL は、ソフトウェアで処理されます。

VACL

を

を

を

を

IOS ACL

と組み合わせて使用する場合

と組み合わせて使用する場合

と組み合わせて使用する場合

と組み合わせて使用する場合

ブリッジング・トラフィックとルーティング・トラフィックの両方をアクセス制御する場合、VACL を単独で使用することも、IOS ACL と VACL を組み合わせて使用することもできます。入出力両方 のルーティングされた VLAN インターフェイス上で IOS ACL を定義し、ブリッジング・トラフィッ クのアクセス制御用に VACL を定義できます。

フローが ACL の VACL denyまたは redirect文節と一致する場合、IOS ACL の設定とは無関係に、その フローは拒否されるかまたは転送されます。IOS ACL を VACL と組み合わせて使用する場合、次の 警告が適用されます。

•

発信ACL上でログ収集が必要なパケットでも、VACLによって拒否された場合は記録されません。

•

NAT ― VACL は NAT 変換の前にパケットに適用されます。変換後のフローをアクセス制御しな

いことにしていても、VACL の設定が原因で、変換後にそのフローがアクセス制御される可能性 があります。

（注）  （注）  （注） 

（注） VACLは、リストの末尾に暗黙拒否が指定されます。したがって、どのどのどの VACL ACE とも一致どの とも一致とも一致とも一致 しなかったパケットは拒否されます。

しなかったパケットは拒否されます。 しなかったパケットは拒否されます。 しなかったパケットは拒否されます。

同一

VLAN

インターフェイス上で

IOS ACL

および

VACL

を設定する場合のガイドライン

同一 VLAN 上で IOS ACLおよび VACL を設定する場合には、次のガイドラインに従ってください。

IOS ACLおよび VACL をそれぞれ異なる VLAN に対応づけるコンフィギュレーションの場合、この ガイドラインは当てはまりません。

Catalyst 6000ファミリー・スイッチのハードウェアは、方向（入力と出力）ごとにセキュリティ ACL を 1 回ずつ検索します。したがって、IOS ACL と VACL を同一 VLAN 上で設定する場合は、IOS ACL と VACL をマージする必要があります。IOS ACL と VACL をマージすると、ACE 数が相当増えます。

IOS ACLと VACL を同一 VLAN に設定しなければならない場合、IOS ACLと VACL の両方のコンフィ ギュレーションについて、次のガイドラインを考慮してください。

（注）  （注）  （注） 

（注） 使用している ACL ストレージの割合を表示するには、show security acl resource-usage コマン ドを入力します。

暗黙拒否アクションの使用

できるだけ、ACL の最後に暗黙拒否アクション（deny any any）を指定し、認められたトラフィック だけを許可するように ACE を定義してください。あらゆる拒否エントリを定義し、リストの最後に

VACLををををIOS ACLと組み合わせて使用する場合と組み合わせて使用する場合と組み合わせて使用する場合と組み合わせて使用する場合

アクションのグループ化

ACLで複数のアクション（許可、拒否、転送）を定義するには、アクション・タイプごとにグルー プとしてまとめます。「例 3」（p.7-12）に、タイプごとにグループ化しなかった場合にどうなるかを 示します。この例では、6 行目の拒否アクションが許可アクションと一緒にグループ化されていま す。この拒否アクションを削除すると、マージ結果は 329エントリではなく、53エントリになります。

アクション数の制限

許可 ACE だけからなる ACL には、2 つのアクションがあります。許可と拒否です（リストの末尾に 暗黙拒否があるため）。許可と転送からなる ACL には、3 つのアクションがあります。許可、転送、 拒否です（リストの末尾に暗黙拒否があるため）。 ACLを設定する場合、2 種類のアクションだけを指定すると、最良のマージ結果が得られます。許可 と拒否、転送と許可、または転送と拒否です。

転送と拒否の ACL を指定する場合は、許可 ACE を使用しないでください。転送と許可の ACL を指 定する場合は、許可 ACE と転送 ACE を使用し、さらに最後の ACE として permit ip any any を指定 します。permit ip any any を指定すると、リストの末尾にある暗黙のdeny ip any が上書きされます （「例 4」[p.7-12] を参照）。

レイヤ

4

ポート情報の組み込み回避

ACLにはレイヤ 4 情報を含めないでください。この情報を追加すると、マージ・プロセスが複雑に なります。最良のマージ結果が得られるのは、フル・フロー（送信元 IPアドレス、宛先 IP アドレス、 プロトコル、およびプロトコル・ポート）ではなく、IP アドレス（送信元および宛先）に基づいて ACLのフィルタリングを行った場合です。 フル・フローを指定しなければならない場合は、「暗黙拒否アクションの使用」（p.7-9）および「ア クションのグループ化」（p.7-10）に記載されている推奨事項を考慮してください。さらに、「例 6」

（p.7-13）を参照してください。レイヤ 4情報を伴う IP ACE と TCP/UDP/ICMP ACE の両方が ACL にあ るために、推奨事項に従うことができない場合は、リストの末尾にレイヤ 4 ACE を配置して、IP ア ドレスに基づくトラフィック・フィルタリングが優先されるようにします。

マージ結果の推定

ACLの設定時に ACL に関するガイドラインに従うと、ACL のマージ結果の概算値が得られます。

次の例では、ACL A、ACL B、および ACL C を使用します。ACL Cが ACL A と ACL B のマージ結果 であるときに、ACL A と ACL Bの大きさがわかっていれば、次の手順で、ACL A と ACL Bにレイヤ

4ポート情報が指定されていない場合の ACL C サイズの上限を推定できます。

ACL Cのサイズ = （ACL A のサイズ） x （ACL B のサイズ）x（2）

レイヤ 4 ポート情報が指定されている場合、この上限はさらに大きくなる可能性があります。

例

次の例で、IOS ACL と VACL のさまざまなコンフィギュレーションについて、マージ結果を示しま す。各例では、同一 VLAN に VACL と IOS ACL が 1つずつ設定されています。

例

1

次の例は、VACL が推奨ガイドラインに従っていない（9行目を参照）ので、マージによって ACE 数 が増えることを示しています。

******** VACL ***********

1 permit udp host 194.72.72.33 194.72.6.160 0.0.0.15

2 permit udp host 147.150.213.94 194.72.6.64 0.0.0.15 eq bootps 3 permit udp 194.73.74.0 0.0.0.255 host 194.72.6.205 eq syslog 4 permit udp host 167.221.23.1 host 194.72.6.198 eq tacacs 5 permit udp 194.72.136.1 0.0.3.128 194.72.6.64 0.0.0.15 eq tftp 6 permit udp host 193.6.65.17 host 194.72.6.205 gt 1023

7 permit tcp any host 194.72.6.52 8 permit tcp any host 194.72.6.52 eq 113 9 deny tcp any host 194.72.6.51 eq ftp 10 permit tcp any host 194.72.6.51 eq ftp-data 11 permit tcp any host 194.72.6.51

12 permit tcp any eq domain host 194.72.6.51 13 permit tcp any host 194.72.6.51 gt 1023 14 permit ip any host 1.1.1.1

******** IOS ACL ************ 1 deny ip any host 239.255.255.255 2 permit ip any any

******** MERGE ********** has 91 entries entries

例

2

ガイドラインに従い、例 1 の 9 行目を削除し、11 行目と 12 行目を変更すると、同等な ACL でありな

がらマージ結果が改善されます（拒否の ACE が指定されていないことに注意）。

******** VACL **********

1 permit udp host 194.72.72.33 194.72.6.160 0.0.0.15

2 permit udp host 147.150.213.94 194.72.6.64 0.0.0.15 eq bootps 3 permit udp 194.73.74.0 0.0.0.255 host 194.72.6.205 eq syslog 4 permit udp host 167.221.23.1 host 194.72.6.198 eq tacacs 5 permit udp 194.72.136.1 0.0.3.128 194.72.6.64 0.0.0.15 eq tftp 6 permit udp host 193.6.65.17 host 194.72.6.205 gt 1023

7 permit tcp any host 194.72.6.52 8 permit tcp any host 194.72.6.52 eq 113 9 permit tcp any host 194.72.6.51 eq ftp-data 10 permit tcp any host 194.72.6.51 neq ftp

11 permit tcp any eq domain host 194.72.6.51 neq ftp 12 permit tcp any host 194.72.6.51 gt 1023

13 permit ip any host 1.1.1.1 ******** IOS ACL ************ 1 deny ip any host 239.255.255.255 2 permit ip any any

******** MERGE *********** has 78 entries

VACLををををIOS ACLと組み合わせて使用する場合と組み合わせて使用する場合と組み合わせて使用する場合と組み合わせて使用する場合

例

3

次の例では、VACL が推奨ガイドラインに従っていないために、マージによって ACE 数が大幅に増 えています。 ******** VACL *********** 1 deny ip 0.0.0.0 255.255.255.0 any 2 deny ip 0.0.0.255 255.255.255.0 any 3 deny ip any 0.0.0.0 255.255.255.0 4 permit ip any host 239.255.255.255 5 permit ip any host 255.255.255.255 6 deny ip any 0.0.0.255 255.255.255.0

7 permit tcp any range 0 65534 any range 0 65534 8 permit udp any range 0 65534 any range 0 65534 9 permit icmp any any

10 permit igmp any any 11 permit ip any any ******** IOS ACL **********

1 deny ip any host 239.255.255.255 2 permit ip any any

******** MERGE ********** has 329 entries

例

4

次の例では、VACL が推奨ガイドラインに従っていないために（3 種類のアクションが指定されてい る）、マージによって ACE 数が大幅に増えています。 ******** VACL ***********

1 redirect 4/25 tcp host 192.168.1.67 host 255.255.255.255 2 redirect 4/25 udp host 192.168.1.67 host 255.255.255.255 3 deny tcp any any lt 30

4 deny udp any any lt 30 5 permit ip any any

******* IOS ACL *********** 1 deny ip any host 239.255.255.255 2 permit ip any any

******* MERGE ********** has 142 entries

例

5

次の例では、VACL に 2 種類のアクションが指定されていて、マージ結果が大幅に改善されています。

******** VACL ***********

1 redirect 4/25 tcp host 192.168.1.67 host 255.255.255.255 2 redirect 4/25 udp host 192.168.1.67 host 255.255.255.255 3 permit ip any any

******* IOS ACL *********** 1 deny ip any host 239.255.255.255 2 permit ip any any

******* MERGE ********** has 4 entries

例

6

次の例では、大きい IOS ACL にマージ・ガイドラインを適用したところ（IOS ACLにレイヤ 4 ポート

情報は指定されていない）、マージ結果が 801になっています。

******** VACL **********

1 redirect 4/25 tcp host 192.168.1.67 255.255.255.255 0.0.0.0 2 redirect 4/25 udp host 192.168.1.67 255.255.255.255 0.0.0.0 3 redirect 4/25 icmp host 192.168.1.67 host 255.255.255.255 4 redirect 4/25 ip host 192.168.1.67 host 255.255.255.255 5 deny tcp any any lt 30

6 deny udp any any lt 30 7 permit ip any any

******** IOS ACL *********** 1 permit ip 147.150.213.64 0.0.0.31 194.72.6.64 0.0.0.15 2 permit ip 147.150.213.64 0.0.0.31 194.72.6.160 0.0.0.15 3 permit ip 147.150.213.64 0.0.0.31 host 194.72.6.205 4 permit ip 147.151.77.0 0.0.0.255 194.72.6.64 0.0.0.15 5 permit ip 147.151.77.0 0.0.0.255 194.72.6.160 0.0.0.15 6 permit ip 147.151.77.0 0.0.0.255 194.72.6.208 0.0.0.15 7 permit ip 147.151.77.0 0.0.0.255 host 194.72.6.205 8 permit ip host 193.37.169.121 194.72.6.64 0.0.0.15 [...] total 62 entries without L4 information ******** MERGE **********

has 801 ACEs

例

7

次の例では、例 6で使用したのと同じ IOS ACL が、レイヤ 4ポート情報を伴う VACL とマージされて

います。「暗黙拒否アクションの使用」のガイドラインに従っているので、マージ結果は良好です。

******** VACL *********

1 permit tcp host 193.131.248.24 194.73.73.0 0.0.0.15 gt 1023 2 permit tcp host 158.43.128.8 194.72.6.224 0.0.0.7 gt 1023 3 permit udp any 194.72.6.224 0.0.0.7 eq time

4 permit udp any 194.73.73.0 0.0.0.15 eq time

5 permit udp 194.72.7.128 0.0.0.7 194.72.6.224 0.0.0.7 eq 1645 6 permit udp 194.72.7.128 0.0.0.7 194.73.73.0 0.0.0.15 eq 1645 7 permit udp host 158.152.1.65 194.72.6.224 0.0.0.7 gt 1023 8 permit udp host 158.152.1.65 194.73.73.0 0.0.0.15 gt 1023 [...] total 168 entries ******** IOS ACL ********* 1 permit ip 147.150.213.64 0.0.0.31 194.72.6.64 0.0.0.15 2 permit ip 147.150.213.64 0.0.0.31 194.72.6.160 0.0.0.15 3 permit ip 147.150.213.64 0.0.0.31 host 194.72.6.205 4 permit ip 147.151.77.0 0.0.0.255 194.72.6.64 0.0.0.15 5 permit ip 147.151.77.0 0.0.0.255 194.72.6.160 0.0.0.15 6 permit ip 147.151.77.0 0.0.0.255 194.72.6.208 0.0.0.15 7 permit ip 147.151.77.0 0.0.0.255 host 194.72.6.205 8 permit ip host 193.37.169.121 194.72.6.64 0.0.0.15 [...] total 62 entries without L4 information ******* MERGE ********

ネットワークでの ネットワークでの ネットワークでの ネットワークでのVACLの使用の使用の使用の使用

レイヤ

4

オペレーションを使用する場合のガイドライン

レイヤ 4 ポート上で実行するオペレーションを指定しなければならないコンフィギュレーションで は、次のガイドラインに従ってください。 スイッチのハードウェアを使用すると、次のタイプのオペレーションを指定できます。gt、lt、neq、 および range です。演算子またはオペランドが異なれば、オペレーションも異なります。たとえば、 [lt 5]と [lt 6] は別々のオペレーションです。 同一 ACL に指定するオペレーションは 9 つまでにしてください。それより多くのオペレーションを 指定すると、新しいオペレーションを行うたびに、影響を受ける ACE が複数の ACE に変換される可 能性があります。同一 VLAN インターフェイスに IOS ACLと VACL がある場合も、レイヤ 4オペレー ションの推奨合計数は 9以下です。

レ イ ヤ 4 オ ペ レ ー シ ョ ン の 推 奨 数 を 超 過 し た 場 合 の 影 響 を 調 べ る た め に、show security acl

resource-usageコマンドを使用して、リソースの使用状況を調べるようにしてください。

ネットワークでの

ネットワークでの

ネットワークでの

ネットワークでの

VACL

の使用

の使用

の使用

の使用

ここでは、VACL の代表的な用途について説明します。具体的な内容は、次のとおりです。

•

配線クローゼット用の構成（p.7-14）

•

特定のサーバ・ポートへのブロードキャスト・トラフィックの転送（p.7-15）

•

特定サーバの DHCP 応答の制限（p.7-16）

•

別の VLAN 上のサーバに対するアクセス拒否（p.7-17）

•

トラフィック・フローのキャプチャ（p.7-18）

配線クローゼット用の構成

配線クローゼット用の構成では、Catalyst 6000 ファミリー・スイッチに MSFC（ルータ）が搭載され ていない場合があります。その場合でも、スイッチは VACL と QoS ACL をサポートできます。ホス ト X とホスト Y が別々の VLAN 上にあり、配線クローゼットのスイッチ A とスイッチ C に接続されて いるとします（図 7-4 を参照）。ホスト X からホスト Y へ流れるトラフィックは、最終的には MSFC 搭載スイッチによってルーティングされます。ホスト X からホスト Y へ流れるトラフィックは、ト ラフィックのエントリ・ポイント、すなわちスイッチ A でアクセス制御可能です。 ホスト X からホスト Y へ、HTTPトラフィックをスイッチングしない場合、スイッチ A 上で VACL を 設定できます。ホスト X からホスト Y へ流れる HTTP トラフィックはすべて、スイッチ A で廃棄され、 MSFC搭載スイッチにはブリッジングされません。

図 図 図 図 7-4 配線クローゼット用の構成配線クローゼット用の構成配線クローゼット用の構成配線クローゼット用の構成

特定のサーバ・ポートへのブロードキャスト・トラフィックの転送

一部のアプリケーション・トラフィックでは、VLAN 内のあらゆるホストに到達するブロードキャ スト・パケットを使用します。VACL を使用すると、これらのブロードキャスト・パケットを目的 のアプリケーション・サーバ・ポートに転送できます。 図 7-5 では、ホストA からのアプリケーション・ブロードキャスト・パケットがターゲットのアプリ ケーション・サーバ・ポートに転送され、他のポートがそのパケットを受信できないようになって います。 特定のサーバ・ポートにブロードキャスト・トラフィックを転送するには、イネーブル・モードで 次の作業を行います（TCP ポート 5000が目的のサーバ・アプリケーション・ポート）。 （注）  （注）  （注）  （注） ポート・グループにトラフィックを転送することにより、マルチキャスト宛先にブロードキャ スト・トラフィックを転送する場合と同じ概念を適用できます（図 7-5 を参照）。 作業 作業 作業 作業 コマンドコマンドコマンドコマンド ステップ ステップ ステップ ステップ 1 ブロードキャスト・パケッ トを転送します。

set security acl ip SERVER redirect 4/1 tcp any host 255.255.255.255 eq 5000 ステップ ステップ ステップ ステップ 2 他のすべてのトラフィック を許可します。

set security acl ip SERVER permit ip any any

ステップ ステップ ステップ

ステップ 3 VACLをコミットします。 commit security acl SERVER

ステップ ステップ ステップ

ステップ 4 VLAN 10に VACL を対応づ

けます。

set security acl map SERVER 10

ネットワークでの ネットワークでの ネットワークでの ネットワークでのVACLの使用の使用の使用の使用 図 図 図 図 7-5 特定サーバ・ポートへのブロードキャスト・トラフィックの転送特定サーバ・ポートへのブロードキャスト・トラフィックの転送特定サーバ・ポートへのブロードキャスト・トラフィックの転送特定サーバ・ポートへのブロードキャスト・トラフィックの転送

特定サーバの

DHCP

応答の制限

DHCP要求がブロードキャストされると、VLAN内のあらゆる DHCP サーバに到達し、複数の応答が 得られます。VACL を使用すると、特定の DHCP サーバからの応答だけに制限し、他の応答を廃棄で きます。 特定サーバの DHCP 応答だけに制限するには、イネーブル・モードで次の作業を行います（ターゲッ ト DHCP サーバのIP アドレスは1.2.3.4）。 図 7-6 では、ターゲット・サーバだけが DHCP 要求に対する DHCP応答を返します。 作業 作業 作業 作業 コマンドコマンドコマンドコマンド ステップ ステップ ステップ ステップ 1 ホスト1.2.3.4からのDHCP応 答を許可します。

set security acl ip SERVER permit tcp host 1.2.3.4 any eq 68

ステップ ステップ ステップ

ステップ 2 他のホストからのDHCP応答 を拒否します。

set security acl ip SERVER deny tcp any any eq 68

ステップ ステップ ステップ

ステップ 3 他の IP トラフィックを許可 します。

set security acl ip SERVER permit any any

ステップ ステップ ステップ

ステップ 4 VACLをコミットします。 commit security acl SERVER

ステップ ステップ ステップ

ステップ 5 VLAN 10に VACL を対応づ

けます。

set security acl map SERVER 10

図 図 図 図 7-6 特定サーバの特定サーバの特定サーバの特定サーバのDHCP応答の制限応答の制限応答の制限応答の制限

別の

VLAN

上のサーバに対するアクセス拒否

別の VLAN 上のサーバに対してアクセスを制限できます。たとえば、VLAN 10 のサーバ 10.1.1.100 に、次のようなアクセス制限を設定するとします（図 7-7 を参照）。

•

VLAN 20のサブネット 10.1.2.0/24 上のホストにはアクセス権を与えない

•

VLAN 10のホスト 10.1.1.4 および 10.1.1.8 にはアクセス権を与えない 別の VLAN 上のサーバに対してアクセスを拒否するには、イネーブル・モードで次の作業を行います。 作業 作業 作業 作業 コマンドコマンドコマンドコマンド ステップ ステップ ステップ ステップ 1 サブネット 10.1.2.0/24 上の ホストからのトラフィック を拒否します。

set security acl ip SERVER deny ip 10.1.2.0 0.0.0.255 host 10.1.1.100

ステップ ステップ ステップ

ステップ 2 ホスト 10.1.1.4 からのトラ フィックを拒否します。

set security acl ip SERVER deny ip host 10.1.1.4 host 10.1.1.100

ステップ ステップ ステップ

ステップ 3 ホスト 10.1.1.8 からのトラ フィックを拒否します。

set security acl ip SERVER deny ip host 10.1.1.8 host 10.1.1.100

ステップ ステップ ステップ

ステップ 4 他の IP トラフィックを許可 します。

set security acl ip SERVER permit ip any any

ステップ ステップ ステップ

ステップ 5 VACLをコミットします。 commit security acl SERVER

ステップ ステップ ステップ

ステップ 6 VLAN 10に VACL を対応づ

けます。

set security acl map SERVER 10

サポートされない機能 サポートされない機能 サポートされない機能 サポートされない機能 図 図 図 図 7-7 別の別の別の別のVLAN上のサーバに対するアクセス拒否上のサーバに対するアクセス拒否上のサーバに対するアクセス拒否上のサーバに対するアクセス拒否

トラフィック・フローのキャプチャ

コンフィギュレーション全体の詳細については、「特定ポート上のトラフィック・フローのキャプ チャ」（p.7-28）を参照してください。

サポートされない機能

サポートされない機能

サポートされない機能

サポートされない機能

ここでは、Catalyst 6000 ファミリー・スイッチ上でサポートされないか、サポートが限定されている ACL関連の機能を一覧形式で紹介します。

•

非 IP バージョン 4/IPX IOS ACL ― 次のタイプの IOS セキュリティACL は、スイッチのハードウェ

アでは実施できません。MSFC はソフトウェアで ACL を処理しなければならないので、システ ム・パフォーマンスが大幅に低下します。 — ブリッジ・グループ ACL — IPアカウンティング — 着信および発信速度制限 — 送信元ノード番号を使用する標準 IPX — 送信元ノード番号またはソケット番号を指定する IPX 拡張アクセス・リストは、ハードウェ アでは実施されません。 — 標準 XNS アクセス・リスト — 拡張 XNS アクセス・リスト — DECnetアクセス・リスト — 拡張 MAC アドレス・アクセス・リスト — プロトコル・タイプ・コード・アクセス・リスト

•

ヘッダ長が 5 未満の IP パケットはアクセス制御の対象外です。

•

非フル・フロー IPX VACL ― IPX VACL は、送信元／宛先ネットワーク番号、パケット・タイプ、

および宛先ノード番号だけによって指定されたフローに基づきます。IPXフローを指定する場合、

送信元ノード番号およびソケット番号はサポートされません。

VACL

の設定

の設定

の設定

の設定

ここでは、VACL を設定する方法について説明します。設定作業を始める前に、「VACL 設定時のガ イドライン」（p.7-19）を参照してください。

VACL

設定時のガイドライン

VACLの設定時には、次のガイドラインに従ってください。 注意  注意  注意 

注意 ACL のすべての変更は、編集バッファに一時的に保管されます。すべての ACE を NVRAM にコミットするには、commit コマンドを使用する必要があります。ACE を指定しないでコミットさ れた ACL は削除されます。ACE をバッチで入力し、commit コマンドですべての ACE を NVRAM に保管することを推奨します。

（注）  （注）  （注） 

（注） IOS ACLおよび VACL の設定は、NVRAM ではなくフラッシュ・メモリから実行できます。

詳細については、「フラッシュ・メモリでの ACL の設定および保管」（p.7-30）を参照してください。

•

「同一VLANインターフェイス上でIOS ACLおよびVACLを設定する場合のガイドライン」（p.7-9） を参照してください。

•

コンフィギュレーション例については、「ネットワークでの VACL の使用」（p.7-14）を参照してく ださい。

•

「サポートされない機能」（p.7-18）を参照してください。

•

VACLをコミットしてからでなければ、VACLを VLAN にマップできません。デフォルトの VACL

はありません。また、デフォルトの VACL/VLAN マッピングもありません。

•

ルーティング VLAN インターフェイス（入力または出力）上に、トラフィックを拒否するように

設定された IOS ACL がない場合で、なおかつ VACL が設定されていない場合、すべてのトラ フィックが許可されます。

•

ACLでは ACE の順序が重要です。スイッチに入ってきたパケットは、ACL内の最初の ACE と突き

合わせて適用されます。一致しなかった場合、パケットは 2 番目に指定された ACE と突き合わ せて適用されます。一致する ACE がない場合、パケットは拒否（廃棄）されます。

•

必ず、show security acl info acl_name editbuffer コマンドを使用して、ACE の現在のリストを確認 してから、編集バッファを変更してください。

•

冗長MSFC構成のシステムでは、IOS ACLとVACLのACLコンフィギュレーションを両方のMSFC

で一致させる必要があります。

•

ACLを削除しただけでコミットしなかった場合、システムの最大 ACL 数が誤って計算される可能

性があります。

•

ハードウェアにそれ以上の ACL を保管するスペースがない場合でも、show security acl

resource-usageコマンドおよび show qos acl resource-usage コマンドでは、使用率が 100% になら

ないことがあります。これは、ACL マネージャが必要に応じてクリーンナップおよびマッピング を実行できるように、ハードウェアで、ある程度 ACL スペースが確保されているからです。

VACLの設定の設定の設定の設定

VACL

設定の概要

VACLを作成して VLANに対応づけるには、次の作業が必要です。 ステップ ステップ ステップ

ステップ 1 set security acl ipコマンドを入力して VACL を作成し、ACE を追加します。

ステップ ステップ ステップ

ステップ 2 commitコマンドを入力して、VACLおよび対応する ACE を NVRAM にコミットします。

ステップ ステップ ステップ

ステップ 3 set security acl mapコマンドを入力して VACL を VLAN にマップします。

（注）  （注）  （注） 

（注） ここでは IP VACL を使用していますが、IPX および非 IP バージョン 4/IPX VACL の場合も、

基本的に同じ手順で設定できます。

（注）  （注）  （注） 

（注） VACLは、リストの末尾に暗黙拒否機能が指定されます。したがって、どのどのどのどの VACL ACE ともともともとも 一致しなかったパケットは拒否されます。 一致しなかったパケットは拒否されます。 一致しなかったパケットは拒否されます。 一致しなかったパケットは拒否されます。

CLI（コマンドライン・インターフェイス）からの

VACL

の設定

ここでは、Catalyst 6000ファミリー・スイッチ上で VACL を作成してアクティブにする手順について 説明します。作業する順番に従って説明します。 （注）  （注）  （注）  （注） この章で使用しているコマンドの構文および使用方法の詳細については、『Catalyst 6000

Family Command Reference』を参照してください。

ここでは、次の作業について説明します。

•

IP VACLの作成および ACE の追加（p.7-21）

•

IPX VACLの作成および ACE の追加（p.7-22）

•

非 IP バージョン 4/IPX VACL の作成および ACE の追加（p.7-24）

•

ACLのコミット（p.7-25）

•

VLANへの VACL のマッピング（p.7-25）

•

VACLの内容の表示（p.7-26）

•

VACL/VLANマッピングの表示（p.7-26）

•

編集バッファの消去（p.7-26）

•

セキュリティ ACL からの ACE の消去（p.7-27）

•

セキュリティ ACL マップの消去（p.7-27）

•

VACL管理情報の表示（p.7-28）

•

特定ポート上のトラフィック・フローのキャプチャ（p.7-28）

IP VACL

の作成および

ACE

の追加

新しい IP VACL を作成してACE を追加する、または既存の IP VACLに ACE を追加するには、イネー ブル・モードで次の作業を行います。

次に、IPACL1用の ACE を作成し、送信元アドレス 172.20.53.4からのトラフィックを許可する例を示 します。

Console> (enable) set security acl ip IPACL1 permit host 172.20.53.4 0.0.0.0 IPACL1 editbuffer modified. Use ‘commit’ command to apply changes.

Console> (enable) （注）  （注）  （注）  （注） VACL はリストの末尾に暗黙拒否機能が指定されるので、上の例の場合、他のすべてのトラ フィックが拒否されます。 次に、IPACL1 用の ACE を作成し、すべての送信元アドレスからのトラフィックを許可する例を示し ます。

Console> (enable) set security acl ip IPACL1 permit any

IPACL1 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

次に、IPACL1用の ACE を作成し、送信元アドレス171.3.8.2 からのトラフィックをブロックする例を 示します。

Console> (enable) set security acl ip IPACL1 deny host 171.3.8.2 IPACL1 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

次に、編集バッファの内容を表示する例を示します。

Console> (enable) show security acl info IPACL1 editbuffer set security acl ip IPACL1

---1. permit ip host 172.20.53.4 any

2. permit ip any any

3. deny ip host 171.3.8.2 any Console> (enable)

次に、NVRAM に ACE をコミットする例を示します。

Console> (enable) commit security acl all ACL commit in progress.

ACL IPACL1 is committed to hardware. Console> (enable)

show security acl info IPACL1コマンドを入力し、変更がコミットされたことを確認します。この

VACLが VLAN にマップされていない場合には、set security acl map コマンドを入力して VLAN に

VACLをマップします。 作業 作業 作業 作業 コマンドコマンドコマンドコマンド • IP プロトコルの指定が不要な場 合は、次の構文を使用します。 • IPプロトコルを指定する場合は、 次の構文を使用します。

set security acl ip {acl_name} {permit | deny} {src_ip_spec}

[capture] [before editbuffer_index | modify editbuffer_index]

set security acl ip {acl_name} {permit | deny | redirect mod_num/port_num}

{protocol} {src_ip_spec} {dest_ip_spec} [precedence precedence] [tos tos]

VACLの設定の設定の設定の設定

次に、IPACL2 用の ACE を作成し、送信元アドレス 172.20.3.2 からのトラフィックをブロックし、こ の ACE を VACL 内の ACE 番号 2 の前に配置する例を示します。任意で modify キーワードを使用する ことにより、既存の ACE を新しい ACE に置き換えることができます。show security acl info acl_name

[editbuffer]コマンドを入力して、NVRAM に保管されている現在の ACE リストを確認します（編集

バッファの内容を表示する場合は、editbuffer キーワードを使用します）。

Console> (enable) set security acl ip IPACL2 deny host 172.20.3.2 before 2 IPACL2 editbuffer modified. Use ‘commit’ command to apply changes.

Console> (enable) 次 に、IPACL2 用 の ACE を 作 成 し、送 信 元 ア ド レ ス 1.2.3.4 か ら ポ ー ト 3/1 へ、宛 先 ア ド レ ス 255.255.255.255の IP トラフィックを転送する例を示します。送信元および送信元ワイルド・カード 0.0.0.0の省略形として、host を使用できます。この ACE ではさらに、下記も指定しています。

•

precedence ― IP 順位値。範囲は低順位の 0 ∼高順位の 7 です。

•

tos ― サービス・タイプのレベル。範囲は 0 ∼ 15 です。

Console> (enable) set security acl ip IPACL2 redirect 3/1 ip 1.2.3.4 0.0.0.255 host

255.255.255.255 precedence 1 tos min-delay

IPACL2 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

次に、編集バッファの内容を表示する例を示します。

Console> (enable) show security acl info IPACL2 editbuffer set security acl ip IPACL2

---1. deny 172.20.3.2

2. redirect 1.2.3.4 Console> (enable)

次に、NVRAM に ACE をコミットする例を示します。

Console> (enable) commit security acl all ACL commit in progress.

ACL IPACL2 is committed to hardware. Console> (enable)

show security acl info IPACL2コマンドを入力し、変更がコミットされたことを確認します。この

VACLが VLAN にマップされていない場合には、set security acl map コマンドを入力して VLAN に

VACLをマップします。

IPX VACL

の作成および

ACE

の追加

新しい IPX VACL を作成して ACE を追加する、または既存の IPX VACL に ACE を追加するには、イ ネーブル・モードで次の作業を行います。

作業 作業 作業

作業 コマンドコマンドコマンドコマンド

新しい IPX VACL を作成して ACE を 追加するか、または既存の IPX VACL に ACE を追加します。

set security acl ipx {acl_name} {permit | deny | redirect

mod_num/port_num} {protocol} {src_net} [dest_net.[dest_node]

[[dest_net_mask.]dest_node_mask]] [capture] [before editbuffer_index

次に、IPXACL1用の ACE を作成し、送信元ネットワーク 1234からのトラフィックをすべてブロック する例を示します。

Console> (enable) set security acl ipx IPXACL1 deny any 1234 IPXACL1 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

次に、IPXACL1用の ACE を作成し、宛先アドレス 1.A.3.4のトラフィックをすべてブロックする例を 示します。

Console> (enable) set security acl ipx IPXACL1 deny any any 1.A.3.4 IPXACL1 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

次に、IPXACL1用の ACE を作成し、送信元ネットワーク 3456からのブロードキャスト・トラフィッ クをポート 4/1 に転送する例を示します。

Console> (enable) set security acl ipx IPXACL1 redirect 4/1 any 3456 IPXACL1 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

次に、編集バッファの内容を表示する例を示します。

Console> (enable) show security acl info IPXACL1 editbuffer set security acl ipx IPXACL1

---1. deny any 1234

2. deny any any 1.A.3.4 3. redirect 4/1 any 3456 Console> (enable)

次に、NVRAM に ACE をコミットする例を示します。

Console> (enable) commit security acl all ACL commit in progress.

ACL IPXACL1 is committed to hardware. Console> (enable)

show security acl info IPXACL1コマンドを入力し、変更がコミットされたことを確認します。この

VACLが VLAN にマップされていない場合には、set security acl map コマンドを入力して VLAN に

VACLをマップします。

次に、IPXACL1 用の ACE を作成し、送信元ネットワーク 1 からのすべてのトラフィックを許可し、 この ACE を ACE 番号 2の前に追加する例を示します。

Console> (enable) set security acl ipx IPXACL1 permit any 1 before 2 IPXACL1 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

次に、IPXACL1用の ACE を作成し、すべての送信元アドレスからのトラフィックを許可する例を示 します。

Console> (enable) set security acl ipx IPXACL1 permit any any IPXACL1 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

VACLの設定の設定の設定の設定

次に、編集バッファの内容を表示する例を示します。

Console> (enable) show security acl info IPXACL1 editbuffer set security acl ipx IPXACL1

---1. deny any 1234

2. permit any 1

3. deny any any 1.A.3.4 4. redirect 4/1 any 3456 5. permit any any

ACL IPXACL1 Status: Not Committed Console> (enable)

次に、NVRAM に ACE をコミットする例を示します。

Console> (enable) commit security acl all ACL commit in progress.

ACL IPXACL1 is committed to hardware. Console> (enable)

show security acl info IPXACL1コマンドを入力し、変更がコミットされたことを確認します。この

VACLが VLAN にマップされていない場合には、set security acl map コマンドを入力して VLAN に

VACLをマップします。

非

IP

バージョン

4/IPX VACL

の作成および

ACE

の追加

新しい非 IP バージョン 4/IPX VACL を作成して ACE を追加する、または既存の非 IPバージョン 4/IPX

VACLに ACE を追加するには、イネーブル・モードで次の作業を行います。

次に、MACACL1 用の ACE を作成し、8-2-3-4-7-A からのトラフィックをすべてブロックする例を示 します。

Console> (enable) set security acl mac MACACL1 deny host 8-2-3-4-7-A any MACACL1 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

次に、MACACL1用の ACE を作成し、A-B-C-D-1-2へのトラフィックをすべてブロックする例を示し ます。

Console> (enable) set security acl mac MACACL1 deny any host A-B-C-D-1-2 MACACL1 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

次に、MACACL1用の ACE を作成し、すべての送信元からのトラフィックを許可する例を示します。

Console> (enable) set security acl mac MACACL1 permit any any MACACL1 editbuffer modified. Use ‘commit’ command to apply changes. Console> (enable)

次に、編集バッファの内容を表示する例を示します。

Console> (enable) show security acl info MACACL1 editbuffer 作業 作業 作業 作業 コマンドコマンドコマンドコマンド 新しい非 IP バージョン 4/IPX VACL を 作成して ACE を追加するか、または既 存の非IPバージョン4/IPX VACLにACE を追加します。

set security acl mac {acl_name} {permit | deny}

{src_mac_addr_spec} {dest_mac_addr_spec} [ether-type] [capture]

次に、NVRAM に ACE をコミットする例を示します。

Console> (enable) commit security acl all ACL commit in progress.

ACL MACACL1 is committed to hardware. Console> (enable)

show security acl info MACACL1コマンドを入力し、変更がコミットされたことを確認します。この

VACLが VLAN にマップされていない場合には、set security acl map コマンドを入力して VLAN に

VACLをマップします。

ACL

のコミット

commitコマンドを使用すると、すべての ACL または特定の ACL を NVRAM にコミットできます。コ

ミットされた ACL に ACE がない場合、そのACL は削除されます。

NVRAMに ACL をコミットするには、イネーブル・モードで次の作業を行います。

次に、特定のセキュリティ ACL を NVRAM にコミットする例を示します。

Console> (enable) commit security acl IPACL2 ACL commit in progress.

ACL IPACL2 is committed to hardware. Console> (enable)

VLAN

への

VACL

のマッピング

set security acl mapコ マ ン ド を 使 用 す る と、VACL を VLAN に マ ッ プ で き ま す。デ フ ォ ル ト の

ACL/VLANマッピングはありません。したがって、あらゆる VACL を VLAN にマップする必要があ ります。

VLANに VACL をマップするには、イネーブル・モードで次の作業を行います。

次に、VLAN 10 に IPACL1 をマップする例を示します。

Console> (enable) set security acl map IPACL1 10 ACL IPACL1 mapped to vlan 10

Console> (enable)

次に、コミットされていない ACL をマップしようとした場合の出力例を示します。

Console> (enable) set security acl map IPACL1 10 Commit ACL IPACL1 before mapping.

Console> (enable) 作業

作業 作業

作業 コマンドコマンドコマンドコマンド

NVRAMに ACL をコミットします。 commit security acl acl_name | all

作業 作業 作業

作業 コマンドコマンドコマンドコマンド

VACLの設定の設定の設定の設定

VACL

の内容の表示

show security acl infoコマンドを使用すると、VACL の内容を表示できます。

VACLの内容を表示するには、イネーブル・モードで次の作業を行います。

次に、NVRAM に保存されている VACL の内容を表示する例を示します。

Console> (enable) show security acl info IPACL1 set security acl ip IPACL1

---1. deny A 2. deny ip B any 3. deny c 4. permit any 次に、編集バッファ内にある VACL の内容を表示する例を示します。

Console> (enable) show security acl info IPACL1 editbuffer set security acl ip IPACL1

---1. deny A 2. deny ip B any 3. deny C 4. deny D 5. permit any Console> (enable)

VACL/VLAN

マッピングの表示

show security acl mapコマンドを使用すると、特定の ACL または VLAN に対応する VACL/VLAN マッ

ピングを表示できます。

VACL/VLANマッピングを表示するには、イネーブル・モードで次の作業を行います。

次に、特定の VACL のマッピングを表示する例を示します。

Console> (enable) show security acl map IPACL1 ACL IPACL1 is mapped to VLANs:

1

Console> (enable)

次に、特定の VLANのマッピングを表示する例を示します。

Console> (enable) show security acl map 1 VLAN 1 is mapped to IP ACL IPACL1. VLAN 1 is mapped to IPX ACL IPXACL1. VLAN 1 is mapped to MAC ACL MACACL1. Console> (enable)

作業 作業 作業

作業 コマンドコマンドコマンドコマンド

VACLの内容を表示します。 show security acl info {acl_name | all} [editbuffer [editbuffer_index]]

作業 作業 作業 作業 コマンドコマンドコマンドコマンド VACL/VLAN マッピングを表示し ます。