- はじめに
- 製品概要
- ルータの初期設定
- Supervisor Engine 720 の設定
- Route Switch Processor 720 の設定
- NSF with SSO スーパーバイザ エンジンの冗長構成の設定
- Cisco 7600 シリーズ ルータでの ISSU および eFSU
- RPR および RPR+ スーパーバイザ エンジンの冗長設定
- インターフェイスの設定
- Supervisor Engine 32 の設定
- レイヤ 2 スイッチング用 LAN ポートの設定
- Flex Link の設定
- EtherChannel の設定
- VTP の設定
- VLAN の設定
- プライベート VLAN の設定
- Cisco IP Phone サポートの設定
- IEEE 802.1Q トンネリングの設定
- レイヤ 2 プロトコル トンネリングの設定
- L2TPv3 の設定
- STP および MST の設定
- オプションの STP 機能の設定
- レイヤ 3 インターフェイスの設定
- GTP-SLB IPV6 サポートの設定
- IP Subscriber Awareness over Ethernet
- UDE および UDLR の設定
- PFC のマルチプロトコル ラベル スイッチングの設定
- IPv4 マルチキャスト VPN サポートの設定
- マルチキャスト VPN エクストラネット サポートの設定
- IP ユニキャスト レイヤ 3 スイッチングの設定
- IPv6 マルチキャスト PFC3 および DFC3 レイヤ 3 スイッチングの設定
- IPv4 マルチキャスト レイヤ 3 スイッチングの設定
- IPv6 マルチキャスト トラフィック用 MLDv2 スヌーピングの設定
- IPv4 マルチキャスト トラフィック用 IGMP スヌーピングの設定
- PIM スヌーピングの設定
- ネットワーク セキュリティの設定
- Cisco IOS ACL サポートの概要
- VACL の設定
- Private Hosts(PACL の使用)
- オンライン診断の設定
- サービス拒絶保護の設定
- DHCP スヌーピングの設定
- ダイナミック ARP インスペクションの設定
- トラフィック ストーム制御の設定
- 不明なユニキャスト フラッディングのブロック
- PFC QoS の設定
- PFC QoS 統計データ エクスポートの設定
- Label Switched Multicast(LSM)Multicast Label Distribution Protocol(MLDP)based Multicast VPN(MVPN)サポート
- PFC の MPLS QoS の設定
- IEEE 802.1x ポートベースの認証の設定
- ポート セキュリティの設定
- UDLD の設定
- NetFlow および NDE の設定
- ローカル SPAN、RSPAN、および ERSPAN の設定
- SNMP ifIndex パーシステンスの設定
- 電源管理および環境モニタリング
- WCCP による Web キャッシュ サービスの設定
- Top N ユーティリティの使用
- スイッチ仮想インターフェイス上の双方向フォワーディングおよび検出の設定
- レイヤ 2 Traceroute ユーティリティの使用
- Call Home の設定
- IPv6 ポリシーベース ルーティングの設定
- Mini Protocol Analyzer の使用
- Resilient Ethernet Protocol の設定
- 同期イーサネットと 1588V2 の設定
- リンク ステート トラッキングの設定
- IP および MPLS 向け BGP PIC エッジおよびコアの設定
- IPv4 トランスポートを介した VRF 対応 IPv6 トンネルの設定
- ISIS IPv4 Loop Free Alternate Fast Reroute(LFA FRR)
- Y.1731 パフォーマンス モニタリング
- マルチキャスト サービス リフレクション
- オンライン診断テスト
- 略語
- Cisco IOS Release 15.S ソフトウェア イメージ
- 索引
Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 15.0S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月20日
章のタイトル: Cisco IOS ACL サポートの概要
Cisco IOS ACL サポートの概要
この章では、Cisco 7600 シリーズ ルータの Cisco IOS ACL サポートについて説明します。
•
「Cisco IOS ACL 設定時の注意事項および制約事項」
• 「ACL におけるレイヤ 4 演算の使用上の注意事項および制約事項」
Cisco IOS ACL の設定方法については、次の URL にある『Cisco IOS Security Configuration Guide, Release 12.2』を参照してください。
http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfrpf.html
Cisco IOS ACL 設定時の注意事項および制約事項
Cisco IOS ACL 設定には、次の注意事項および制約事項が適用されます。
• Cisco IOS ACL をレイヤ 3 ポートおよび VLAN インターフェイスに直接、適用できます。
• VLAN ACL(VACL)を VLAN に適用できます(を参照)。
• 各タイプの ACL(IP、IPX、および MAC)は対応するトラフィック タイプだけをフィルタリングします。Cisco IOS MAC ACL が IP または IPX トラフィックを照合することはありません。
• PFC では、ハードウェアで Cisco IOS IPX ACL をサポートしません。Cisco IOS IPX ACL は、MSFC のソフトウェアでサポートされます。
• パケットがアクセス グループによって拒否された場合、デフォルトで MSFC が Internet Control Message Protocol(ICMP)到達不能メッセージを送信します。
ip unreachables コマンドがイネーブルの場合(デフォルト)、スーパーバイザ エンジンは拒否されたパケットの大部分をハードウェアで廃棄し、一部のパケット(最大で 10 パケット/秒)だけが MSFC に送信されて廃棄されます(これにより ICMP 到達不能メッセージが生成されます)。
拒否されたパケットを廃棄し、ICMP 到達不能メッセージを生成することによって MSFC の CPU にかかる負荷を軽減するには、 no ip unreachables インターフェイス コンフィギュレーション コマンドを入力して、ICMP 到達不能メッセージをディセーブルにします。これにより、アクセス グループによって拒否されたすべてのパケットがハードウェアで廃棄されます。
ハードウェアおよびソフトウェア ACL のサポート
アクセス コントロール リスト(ACL)は、ハードウェアの場合には Policy Feature Card(PFC; ポリシー フィーチャ カード)、Distributed Forwarding Card(DFC; 分散型フォワーディング カード)で、ソフトウェアの場合には Multilayer Switch Feature Card(MSFC)で処理できます。次の動作における、ACL のソフトウェアとハードウェア処理を説明します。
• PFC では、番号付き ACL より名前付き ACL の方がより効率的にハードウェアでサポートされます。
• 標準 ACL および拡張 ACL(入力および出力)の「deny」ステートメントに一致する ACL フローは、「ip unreachables」がディセーブルに設定されている場合、ハードウェアによってドロップされます。
• 標準 ACL および拡張 ACL(入力および出力)の「permit」ステートメントに一致する ACL フローは、ハードウェアで処理されます。
• VLAN ACL(VACL)フローはハードウェアで処理されます。VACL で指定されたフィールドのハードウェア処理がサポートされていない場合、このフィールドは無視されるか(ACL の log キーワードなど)、または設定全体が拒否されます(IPX ACL パラメータを含む VACL など)。
• ダイナミック ACL フローはハードウェアで処理されます。
(注) アイドル タイムアウトは設定できません。Cisco 7600 シリーズ ルータでは access-enable host timeout コマンドがサポートされません。
• 特定のポート上の ACL アクセス違反の IP アカウントは、そのポート上で拒否された全パケットを MSFC に転送し、ソフトウェアで処理させることによってサポートされます。この動作は他のフローには影響しません。
• PFC では、ハードウェアで Cisco IOS IPX ACL をサポートしません。Cisco IOS IPX ACL は、MSFC のソフトウェアでサポートされます。
• 名前ベースの拡張 MAC アドレス ACL は、ハードウェアでサポートされています。
• 次の ACL タイプは、ソフトウェアによって処理されます。
– Internetwork Packet Exchange(IPX)アクセス リスト
(注) ヘッダー長が 5 バイト未満の IP パケットは、アクセス コントロールされません。
• 最適化 ACL ロギング(OAL)を設定しない限り、ロギングを必要とするフローはソフトウェアで処理され、ハードウェアでの非ロギング フローの処理には影響しません(「PFC3 での最適化 ACL ロギング」を参照)。
• ソフトウェアで処理されるフローの転送レートは、ハードウェアで処理されるフローに比べると、大幅に小さくなります。
• show ip access-list コマンドの出力に表示される一致カウントには、ハードウェアで処理されたパケットは含まれません。
PFC3 での最適化 ACL ロギング
OAL の概要
Optimized ACL Logging(OAL; 最適化 ACL ロギング)は、ACL ロギングをハードウェアでサポートしています。OAL を設定しない限り、ロギングを必要とするパケットは、MSFC のソフトウェアで完全に処理されます。OAL では、PFC3 のハードウェアでパケットの許可または廃棄を行い、最適化ルーチンを使用して情報を MSFC3 に送信し、ロギング メッセージを生成します。
OAL に関する注意事項および制約事項
• OAL キャプチャと VACL キャプチャには互換性がありません。ルータで両方の機能を一緒に設定しないでください。OAL が設定された状態で、SPAN を使用してトラフィックをキャプチャします。
• OAL は IPv4 ユニキャスト パケットだけをサポートしています。
• OAL は、許可された入力トラフィックの VACL ロギングをサポートしています。
• OAL は、次のものに対してはハードウェアでのサポートをしていません。
– 他の機能(QoS など)のトラフィックのフィルタ処理に使用される ACL
– 例外パケット(存続可能時間(TTL)障害や MTU 障害など)
– ICMP 到達不能メッセージを生成するために MSFC3 へ送信されるパケット
– ハードウェアでは加速されず、機能によって処理されるパケット
• 拒否されたパケットに OAL サポートを提供するには、 mls rate-limit unicast ip icmp unreachable acl-drop 0 コマンドを入力します。
OAL の設定
(注) • このセクションで使用しているコマンドの構文および使用方法の詳細については、『Cisco 7600 Series Router Cisco IOS Command Reference』を参照してください。
• 拒否されたパケットに OAL サポートを提供するには、 mls rate-limit unicast ip icmp unreachable acl-drop 0 コマンドを入力します。
OAL グローバル パラメータの設定
OAL グローバル パラメータを設定するには、次の作業を行います。
OAL グローバル パラメータを設定する場合、次の情報に注意してください。
– 範囲:0~1,048,576(カンマを含めないで入力)。
– ログのためにエントリが送信されるまでの最大時間を設定します。この時間中エントリが非アクティブの場合、キャッシュから削除されます。
– 範囲:5~86,400(1440 分つまり 24 時間、カンマを含めないで入力)。
• rate-limit number_of_packets :
– ソフトウェアで 1 秒間にログに記録されるパケット数を設定します。
– 範囲:10~1,000,000(カンマを含めないで入力)。
– デフォルト:0(レート制限がオフになり、すべてのパケットがログに記録されます)。
• threshold number_of_packets :
– エントリがログに記録されるまでに一致するパケット数を設定します。
インターフェイスでの OAL の設定
インターフェイスで OAL を設定するには、次の作業を行います。
|
|
|
|
|---|---|---|
Router(config)# interface {{ type 1 slot/port } |
||
OAL 情報の表示
|
|
|
|---|---|
|
|
キャッシュされた OAL エントリのクリア
キャッシュされた OAL エントリをクリアするには、次の作業を行います。
|
|
|
|---|---|
|
|
ACL におけるレイヤ 4 演算の使用上の注意事項および制約事項
ここでは、レイヤ 4 ポート演算を含む ACL を設定する場合の注意事項および制約事項について説明します。
レイヤ 4 演算の使用
1 つの ACL に、9 つより多くの 異なる 演算を指定しないよう推奨します。この数を超えると、新しい演算によって影響される ACE が、複数の ACE に分割されることがあります。
レイヤ 4 演算を使用するときは、次の 2 つの注意事項に従ってください。
• レイヤ 4 演算は、演算子またはオペランドが異なっていると、違う演算であると見なされます。たとえば、次の ACL には 3 つの異なるレイヤ 4 演算が定義されています(「gt 10」と「gt 11」は 2 つの異なるレイヤ 4 演算です)。
(注) 「eq」演算子の使用に制限はありません。「eq」演算子は論理演算ユニット(LOU)またはレイヤ 4 演算ビットを使用しないためです。LOU については、「論理演算ユニットの使用」を参照してください。
• レイヤ 4 演算は、同じ演算子/オペランドの組み合わせでも、送信元ポートに適用するか宛先ポートに適用するかによって異なる演算になります。たとえば次の ACL では、1 つの ACE には送信元ポート、もう 1 つの ACE には宛先ポートが指定されているので、2 つの異なるレイヤ 4 演算が定義されていることになります。
論理演算ユニットの使用
論理演算ユニット(LOU)は、演算子/オペランドの組み合わせを保存するレジスタです。ACL はすべて、LOU を使用します。最大 32 の LOU があります。各 LOU には、2 つの異なる演算子/オペランドの組み合わせを保存できますが、range 演算子だけは例外です。レイヤ 4 演算は、次のように LOU を使用します。
たとえば、次の ACL では、1 つの LOU に 2 つの異なる演算子/オペランドの組み合わせが保存されます。
• LOU1 に、「gt 10」および「lt 9」が保存されます。
• LOU2 に、「gt 11」および「neq 6」が保存されます。
フィードバック