- はじめに
- 製品概要
- ルータの初期設定
- Supervisor Engine 720 の設定
- Route Switch Processor 720 の設定
- NSF with SSO スーパーバイザ エンジンの冗長構成の設定
- Cisco 7600 シリーズ ルータでの ISSU および eFSU
- RPR および RPR+ スーパーバイザ エンジンの冗長設定
- インターフェイスの設定
- Supervisor Engine 32 の設定
- レイヤ 2 スイッチング用 LAN ポートの設定
- Flex Link の設定
- EtherChannel の設定
- VTP の設定
- VLAN の設定
- プライベート VLAN の設定
- Cisco IP Phone サポートの設定
- IEEE 802.1Q トンネリングの設定
- レイヤ 2 プロトコル トンネリングの設定
- L2TPv3 の設定
- STP および MST の設定
- オプションの STP 機能の設定
- レイヤ 3 インターフェイスの設定
- GTP-SLB IPV6 サポートの設定
- IP Subscriber Awareness over Ethernet
- UDE および UDLR の設定
- PFC のマルチプロトコル ラベル スイッチングの設定
- IPv4 マルチキャスト VPN サポートの設定
- マルチキャスト VPN エクストラネット サポートの設定
- IP ユニキャスト レイヤ 3 スイッチングの設定
- IPv6 マルチキャスト PFC3 および DFC3 レイヤ 3 スイッチングの設定
- IPv4 マルチキャスト レイヤ 3 スイッチングの設定
- IPv6 マルチキャスト トラフィック用 MLDv2 スヌーピングの設定
- IPv4 マルチキャスト トラフィック用 IGMP スヌーピングの設定
- PIM スヌーピングの設定
- ネットワーク セキュリティの設定
- Cisco IOS ACL サポートの概要
- VACL の設定
- Private Hosts(PACL の使用)
- オンライン診断の設定
- サービス拒絶保護の設定
- DHCP スヌーピングの設定
- ダイナミック ARP インスペクションの設定
- トラフィック ストーム制御の設定
- 不明なユニキャスト フラッディングのブロック
- PFC QoS の設定
- PFC QoS 統計データ エクスポートの設定
- Label Switched Multicast(LSM)Multicast Label Distribution Protocol(MLDP)based Multicast VPN(MVPN)サポート
- PFC の MPLS QoS の設定
- IEEE 802.1x ポートベースの認証の設定
- ポート セキュリティの設定
- UDLD の設定
- NetFlow および NDE の設定
- ローカル SPAN、RSPAN、および ERSPAN の設定
- SNMP ifIndex パーシステンスの設定
- 電源管理および環境モニタリング
- WCCP による Web キャッシュ サービスの設定
- Top N ユーティリティの使用
- スイッチ仮想インターフェイス上の双方向フォワーディングおよび検出の設定
- レイヤ 2 Traceroute ユーティリティの使用
- Call Home の設定
- IPv6 ポリシーベース ルーティングの設定
- Mini Protocol Analyzer の使用
- Resilient Ethernet Protocol の設定
- 同期イーサネットと 1588V2 の設定
- リンク ステート トラッキングの設定
- IP および MPLS 向け BGP PIC エッジおよびコアの設定
- IPv4 トランスポートを介した VRF 対応 IPv6 トンネルの設定
- ISIS IPv4 Loop Free Alternate Fast Reroute(LFA FRR)
- Y.1731 パフォーマンス モニタリング
- マルチキャスト サービス リフレクション
- オンライン診断テスト
- 略語
- Cisco IOS Release 15.S ソフトウェア イメージ
- 索引
Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 15.0S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月20日
章のタイトル: VACL の設定
VACL の設定
この章では、Cisco 7600 シリーズ ルータで VLAN ACL(VACL)を設定する手順を説明します。
(注) • この章で使用しているコマンドの構文および使用方法の詳細については、次の URL にある『Cisco 7600 Series Routers Command References』を参照してください。
http://www.cisco.com/en/US/products/hw/routers/ps368/prod_command_reference_list.html
•
OAL キャプチャと VACL キャプチャには互換性がありません。ルータで両方の機能を一緒に設定しないでください。OAL が設定されている場合は(を参照)、SPAN を使用してトラフィックをキャプチャします。
VACL の概要
VACL の概要
VACL は、VLAN 内でブリッジされるか、VLAN または VACL キャプチャの WAN インターフェイスとの間でルーティングされている すべてのパケット のアクセス コントロールを行います。ルータ インターフェイスでのみ設定され、ルーティング対象パケットだけに適用される通常の Cisco IOS 標準または拡張 ACL と異なり、VACL はすべてのパケットに適用され、どの VLAN または WAN インターフェイスにも適用できます。VACL はハードウェアで処理されます。VACL は Cisco IOS ACL を使用します。VACL は、ハードウェアでサポートされていないすべての Cisco IOS ACL フィールドを無視します。
IP、IPX、および MAC レイヤ トラフィックの場合は、VACL を設定できます。WAN インターフェイスに適用される VACL は、VACL キャプチャの IP トラフィックだけをサポートします。
VACL を設定して VLAN に適用すると、VLAN に着信するすべてのパケットが、この VACL と照合されます。VACL を VLAN に適用し、ACL を VLAN 内のルーティング対象インターフェイスに適用すると、VLAN に着信するパケットは最初に VACL と照合されます。そこで許可されると、次に入力 ACL と照合され、それからルーティング対象インターフェイスで処理されます。別の VLAN にルーティングされるパケットは、最初に、ルーティング対象インターフェイスに適用される出力 ACL と照合されます。そこで許可されると、宛先 VLAN 用に設定された VACL が適用されます。VACL が特定のパケット タイプ用に設定されていて、VACL と該当タイプのパケットとが一致しない場合、デフォルト動作では、パケットが拒否されます。
(注) • TCP インターセプトおよび再帰 ACL は、VACL と同じインターフェイスに設定されている場合、VACL よりも優先されます。
• VACL および CBAC は、同じインターフェイス上に設定できません。
ブリッジド パケット
図 37-1 に、ブリッジド パケットに適用される VACL を示します。
ルーティング対象パケット
図 37-2 に、ルーティング対象パケットおよびレイヤ 3 スイッチング対象パケットに ACL を適用する方法を示します。ルーティング対象パケットおよびレイヤ 3 スイッチング対象パケットに対して、ACL は次の順番で適用されます。
図 37-2 ルーティング対象パケットへの VACL の適用
マルチキャスト パケット
図 37-3 に、マルチキャスト拡張が必要なパケットに ACL を適用する方法を示します。マルチキャスト拡張が必要なパケットに対して、ACL は次の順番で適用されます。
3. ルータから送信されるパケット:出力 VLAN 用 VACL
図 37-3 マルチキャスト パケットへの VACL の適用
VACL の設定
• 「VLAN アクセス マップ シーケンスでの match 句の設定」
• 「VLAN アクセス マップ シーケンスでの action 句の設定」
VACL の設定の概要
VACL は標準および拡張 Cisco IOS IP と IPX ACL、MAC レイヤの名前付き ACL(を参照)、および VLAN アクセス マップを使用します。
VLAN アクセス マップは、VLAN または VACL キャプチャの WAN インターフェイスに適用されます。WAN インターフェイスに付加された VACL は、標準または拡張 Cisco IOS IP ACL だけをサポートします。
各 VLAN アクセス マップは、1 つまたは複数のマップ シーケンスで構成できます。各シーケンスには match コマンドと action コマンドが含まれます。match コマンドはトラフィック フィルタリング用の IP、IPX、または MAC ACL を指定します。action コマンドは一致した場合に実行するアクションを指定します。フローが許可(permit)ACL エントリと一致した場合、関連付けられたアクションが実行され、それ以降の残りのシーケンスに対してフローはチェックされません。フローが拒否(deny)ACL エントリと一致した場合、同じシーケンス内の次の ACL、または次のシーケンスに対してフローがチェックされます。フローがどの ACL エントリとも一致せず、1 つまたは複数の ACL がそのパケット タイプ用に設定されている場合、パケットは拒否されます。
ブリッジド トラフィックおよびルーテッド トラフィックの両方にアクセス コントロールを使用するには、VACL を単独で使用するか、または VACL と ACL を組み合わせて使用します。VLAN インターフェイス上で ACL を定義して、入力と出力のルーテッド トラフィックに対してアクセスを制御できます。VACL を定義して、ブリッジド トラフィックに対してアクセス コントロールを使用します。
VACL とともに ACL を使用する場合は、次の点に注意してください。
• 発信 ACL でのロギングの必要があるパケットは、VACL で拒否された場合、記録されません。
• VACL は NAT 変換前のパケットに適用されます。アクセス コントロールされなかった変換フローは、VACL 設定により、変換後にアクセス コントロールされる場合があります。
VACL の action 句には、転送(forward)、ドロップ(drop)、キャプチャ(capture)、またはリダイレクト(redirect)を指定できます。トラフィックをログに記録することもできます。WAN インターフェイスに適用された VACL は、リダイレクトまたはログ アクションをサポートしません。
(注) • VACL のマップの最後には、暗黙的な拒否エントリがあります。パケットがどの ACL エントリとも一致せず、1 つまたは複数の ACL がそのパケット タイプ用に設定されている場合、パケットは拒否されます。
• 空または未定義の ACL が VACL 内で指定されている場合、すべてのパケットはこの ACL に一致し、関連付けられたアクションが実行されます。
VLAN アクセス マップの定義
VLAN アクセス マップを定義するには、次の作業を行います。
|
|
|
|---|---|
VLAN アクセス マップを定義する際、次の情報に注意してください。
• エントリを追加または変更する場合は、マップのシーケンス番号を指定します。
• マップのシーケンス番号を指定しないと、番号が自動的に割り当てられます。
• 各マップ シーケンスには、match 句および action 句をそれぞれ 1 つだけ指定できます。
• マップ シーケンスを削除する場合は、シーケンス番号を指定して no キーワードを使用します。
• マップを削除する場合は、シーケンス番号を指定しないで、 no キーワードを使用します。
(注) VLAN アクセスマップを定義するときに、アクセスマップ名とスペースはアクセスマップ名で許可されないため、単語のみを使用する必要があります。たとえば、アクセスマップの命名に「map_name」は使用できますが、「map name」などの複数の単語を使用することはできません。
「VLAN アクセス マップの設定および確認の例」を参照してください。
VLAN アクセス マップ シーケンスでの match 句の設定
VLAN アクセス マップ シーケンスに match 句を設定するには、次の作業を行います。
VLAN アクセス マップ シーケンスに match 句を設定する際、次の情報に注意してください。
• WAN インターフェイスに付加された VACL は、標準または拡張 Cisco IOS IP ACL だけをサポートします。
• match 句を削除したり、match 句内の特定の ACL を削除したりする場合は、no キーワードを使用します。
• 名前付き MAC レイヤ ACL については、を参照してください。
• Cisco IOS ACL の詳細については、次の URL にある『 Cisco IOS Security Configuration Guide , Release 12.2』の「Traffic Filtering and Firewalls」を参照してください。
http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfacls.html
「VLAN アクセス マップの設定および確認の例」を参照してください。
VLAN アクセス マップ シーケンスでの action 句の設定
VLAN アクセス マップ シーケンスに action 句を設定するには、次の作業を行います。
VLAN アクセス マップ シーケンスに action 句を設定する際、次の情報に注意してください。
• パケットをドロップ、転送、転送してキャプチャ、またはリダイレクトするアクションを設定できます。
• WAN インターフェイスに適用される VACL は、転送してキャプチャするアクションだけをサポートします。WAN インターフェイスに適用された VACL は、ドロップ、転送、またはリダイレクト アクションをサポートしません。
• 転送されたパケットも、設定済み Cisco IOS セキュリティ ACL による制約を受けます。
• capture アクションを指定すると、転送されたパケットのキャプチャ ビットが設定されて、キャプチャ機能がイネーブルであるポートがパケットを受信できるようになります。キャプチャできるのは、転送されたパケットだけです。 capture アクションの詳細については、「キャプチャ ポートの設定」を参照してください。
• WAN インターフェイスに適用された VACL は、log アクションをサポートしません。
• log アクションが指定されている場合、ドロップされたパケットがソフトウェアで記録されます。記録できるのは、ドロップされた IP パケットだけです。
• redirect アクションを指定すると、物理インターフェイスまたは EtherChannel のいずれかのインターフェイスを 5 つまで指定できます。EtherChannel メンバーまたは VLAN インターフェイスにパケットをリダイレクトするように指定することはできません。
• リダイレクト インターフェイスは、VACL アクセス マップが設定されている VLAN 内に存在する必要があります。
• PFC3 を使用した場合、VACL がトラフィックを出力 SPAN 送信元ポートにリダイレクトすると、SPAN は VACL リダイレクトされたトラフィックをコピーしません。
• SPAN および RSPAN 宛先ポートは、VACL リダイレクトされたトラフィックを送信します。
• action 句を削除するか、または指定されたリダイレクト インターフェイスを削除する場合は、no キーワードを使用します。
「VLAN アクセス マップの設定および確認の例」を参照してください。
VLAN アクセス マップの適用
VLAN アクセス マップを適用するには、次の作業を行います。
|
|
|
|---|---|
Router(config)# vlan filter map_name { vlan-list vlan_list | interface type 1 number 2 } |
|
Router(config)# no vlan filter map_name [ vlan-list vlan_list | interface type 1 number 2] |
| 2.number = slot/port または slot/port_adapter/port。サブインターフェイスまたはチャネル グループ ディスクリプタを含むことができます。 |
VLAN アクセス マップを適用する際、次の情報に注意してください。
• VLAN アクセス マップは、1 つまたは複数の VLAN または WAN インターフェイスに適用できます。
• vlan_list パラメータには、単一の VLAN ID、カンマで区切った VLAN ID リスト、または VLAN ID 範囲( vlan_ID - vlan_ID )を指定できます。
• VACL が適用された WAN インターフェイスを削除すると、インターフェイス上の VACL 設定も削除されます。
• 各 VLAN または WAN インターフェイスには、VLAN アクセス マップを 1 つだけ適用できます。
• VLAN に適用した VACL がアクティブになるのは、レイヤ 3 VLAN インターフェイスが設定されている VLAN に対してだけです。レイヤ 3 VLAN インターフェイスを備えていない VLAN に VLAN アクセス マップを適用すると、VLAN アクセス マップをサポートするレイヤ 3 VLAN インターフェイスが、管理上のダウン状態で作成されます。
• レイヤ 2 VLAN が存在しないか動作していない場合、VLAN に適用される VACL は非アクティブです。
• セカンダリ プライベート VLAN に VACL を適用することはできません。プライマリ プライベート VLAN に適用された VACL は、セカンダリ プライベート VLAN にも適用されます。
• VLAN または WAN インターフェイスから VLAN アクセス マップを消去する場合は、 no キーワードを使用します。
「VLAN アクセス マップの設定および確認の例」を参照してください。
VLAN アクセス マップの設定の確認
VLAN アクセス マップの設定を確認するには、次の作業を行います。
|
|
|
|---|---|
Router# show vlan filter [ access-map map_name | vlan vlan_id | interface type 3 number 4 ] |
| 4.number = slot/port または slot/port_adapter/port。サブインターフェイスまたはチャネル グループ ディスクリプタを含むことができます。 |
VLAN アクセス マップの設定および確認の例
net_10 および any_host という名前の IP ACL が、次のように定義されていると想定します。
次に、IP パケットを転送するよう、VLAN アクセス マップを定義および適用する例を示します。この例では、net_10 に一致する IP トラフィックは転送され、それ以外のすべての IP パケットはデフォルトのドロップ アクションによってドロップされます。このマップは VLAN 12 ~ 16 に適用されます。
次に、IP パケットをドロップおよび記録するよう、VLAN アクセス マップを定義および適用する例を示します。この例では、net_10 に一致する IP トラフィックはドロップおよび記録され、それ以外のすべての IP パケットは転送されます。
次に、IP パケットを転送およびキャプチャするよう、VLAN アクセス マップを定義および適用する例を示します。この例では、net_10 に一致する IP トラフィックは転送およびキャプチャされ、それ以外のすべての IP パケットはドロップされます。
キャプチャ ポートの設定
VACL フィルタリングされたトラフィックをキャプチャするよう設定されたポートを、「キャプチャ ポート」といいます。
(注) キャプチャされたトラフィックに IEEE 802.1Q または ISL(スイッチ間リンク)タグを適用するには、キャプチャ ポートで無条件にトランクするように設定します(およびを参照)。
|
|
|
|
|---|---|---|
Router(config)# interface {{ type 5 slot/port } |
||
Router(config-if)# switchport capture allowed vlan { add | all | except | remove } vlan_list |
||
| 5.type = ethernet、fastethernet、gigabitethernet、または tengigabitethernet |
キャプチャ ポートを設定する際、次の情報に注意してください。
• vlan_list パラメータには、単一の VLAN ID、カンマで区切った VLAN ID リスト、または VLAN ID 範囲( vlan_ID - vlan_ID )を指定できます。
• キャプチャされたトラフィックをカプセル化するには、 switchport trunk encapsulation コマンドでキャプチャ ポートを設定してから(を参照)、 switchport capture コマンドを入力します。
• キャプチャされたトラフィックをカプセル化しない場合は、 switchport mode access コマンドでキャプチャ ポートを設定してから(を参照)、 switchport capture コマンドを入力します。
• キャプチャ ポートは、出力トラフィックだけをサポートします。トラフィックは、キャプチャ ポートからルータに入ることができません。
次に、ファスト イーサネット インターフェイス 5/1 をキャプチャ ポートとして設定する例を示します。
次に、VLAN アクセス マップの情報を表示する例を示します。
次に、VACL と VLAN 間のマッピングを表示する例を示します。各 VACL マップでは、マップが設定されている VLAN、およびマップがアクティブである VLAN についての情報があります。VLAN 内にインターフェイスがない場合、VACL は、アクティブになりません。
VACL ロギングの設定
VACL ロギングが設定されているときに、次の状況で IP パケットが拒否されると、ログ メッセージが生成されます。
ログ メッセージはフロー単位で生成されます。フローは、同じ IP アドレスおよびレイヤ 4(UDP または TCP)ポート番号を持つパケットとして定義されます。 ログ メッセージが生成されると、タイマーおよびパケット カウントがリセットされます。
• リダイレクトされたパケットにはレート制限機能が適用されるので、VACL ロギング カウンタが不正確になることがあります。
VACL ロギングを設定するには、VLAN アクセス マップ サブモードの action drop log コマンド アクションを使用します(設定情報については、「VACL の設定」を参照してください)。この作業をグローバル コンフィギュレーション モードで実行して、グローバル VACL ロギング パラメータを指定します。
次に、グローバル VACL ロギングをハードウェア内で設定する例を示します。
フィードバック