- Cisco IOS キャリア イーサネット機能ロード マップ
- イーサネット OAM の使用
- サービス プロバイダー ネットワークでの IEEE 規格準拠のイーサネット CFM の設定
- IEEE CFM での ITU-T Y.1731 障害管理機能 の設定
- IEEE 準拠 CFM MIB
- サービス プロバイダー ネットワークでのイー サネット CFM の設定
- ITU-T Y.1731 障害管理機能の設定
- イーサネット接続障害管理のための Syslog サポート
- サービス インスタンスおよび疑似ワイヤでの スタティック MAC アドレスのサポート
- サービス インスタンス、ブリッジ ドメイン、 および EVC ポート チャネルでの MAC アドレ ス制限の設定
- ブリッジ ドメインにおける IEEE 802.1s
- プロバイダー バックボーン ブリッジにおける IEEE 802.1ah
- イーサネット ローカル管理インターフェイス のイネーブル化
- リモート ポート シャットダウンの設定
- プロバイダー エッジのイーサネット ローカル 管理インターフェイスの設定
- EVC 上のレイヤ 2 アクセス コントロール リスト
- IEEE 802.3ad リンク バンドルおよびロード バランシングの設定
- マルチシャーシ LACP
キャリア イーサネット コンフィギュレーション ガイド、Cisco IOS Release 15.1S
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: EVC 上のレイヤ 2 アクセス コントロール リスト
EVC 上のレイヤ 2 アクセス コントロール リスト
モジュラ式でスケーラブルな方法でパケットをフィルタリングする機能は、ネットワーク セキュリティとネットワーク管理の両方の点で重要です。Access Control List(ACL; アクセス コントロール リスト)を使用すると、きめ細かくパケットをフィルタリングできます。メトロ イーサネット ネットワークでは、ACL は Ethernet Virtual Circuit(EVC; イーサネット仮想回線)に直接適用されます。
EVC 上のレイヤ 2 アクセス コントロール リストは、MAC アドレスに基づくパケットのフィルタリングが可能なセキュリティ機能です。このモジュールでは、ACLs on EVCs を実装する方法について説明します。
機能情報の確認
お使いのソフトウェア リリースが、このモジュールで説明されている機能の一部をサポートしていないことがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「EVC 上のレイヤ 2 アクセス コントロール リストに関する機能情報」を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、Cisco IOS ソフトウェア イメージ、Cisco Catalyst OS ソフトウェア イメージ、および Cisco IOS XE ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
目次
•
「EVC 上のレイヤ 2 アクセス コントロール リストに関する前提条件」
• 「EVC 上のレイヤ 2 アクセス コントロール リストに関する制約事項」
• 「EVC 上のレイヤ 2 アクセス コントロール リストについて」
• 「EVC 上のレイヤ 2 アクセス コントロール リストの設定方法」
EVC 上のレイヤ 2 アクセス コントロール リストに関する前提条件
EVC 上のレイヤ 2 アクセス コントロール リストに関する制約事項
• 1 つの ACL に対して最大 16 の Access Control Entry(ACE)を設定できます。
• ラインカードでは、256 以下の異なる(固有の)レイヤ 2 ACL を設定できます(ルータには 256 を超える ACL を設定できます)。
• 現在のレイヤ 2 ACL は、許可ルールと拒否ルールで、レイヤ 3 フィルタリング オプションを提供しています。サービス インスタンスに関係のないオプションは、無視されます。
EVC 上のレイヤ 2 アクセス コントロール リストについて
Layer 2 ACLs on EVCs を実装するには、次の概念を理解しておく必要があります。
• 「EVC」
EVC
Metro Ethernet Forum によって定義されているように、Ethernet Virtual Circuit(EVC; イーサネット仮想回線)は、ポートレベルのポイントツーポイントまたはマルチポイントツーマルチポイントのレイヤ 2 回線です。これは、プロバイダーからカスタマーに提供されているレイヤ 2 サービスの単一インスタンスのエンドツーエンド表現です。EVC は、サービスを提供するためのさまざまなパラメータを実現したものです。サービス インスタンスは、あるルータ上のあるポート上で EVC をインスタンス化したものです。
Ethernet Virtual Connection Services(EVCS)は、EVC とサービス インスタンスを使用して、レイヤ 2 スイッチド イーサネット サービスを提供します。Customer Edge(CE; カスタマー エッジ)デバイスは EVC ステータスを使用して、サービス プロバイダー ネットワークへの代替パスを検索したり、場合によっては、イーサネット経由または別の代替サービス経由(フレーム リレーや ATM など)でバックアップ パスに戻ります。
Metro Ethernet Forum 規格の詳細については、「規格」を参照してください。
ACL とイーサネット インフラストラクチャの関係
ACL と Ethernet Infrastructure(EI; イーサネット インフラストラクチャ)との関係をまとめると、次のようになります。
• ACL は、Command-Line Interface(CLI; コマンドライン インターフェイス)を使用して、EVC に直接適用できます。ACL は、特定のポートで、EVC をインスタンス化したサービス インスタンスに適用されます。
• 1 つの ACL を、複数のサービス インスタンスに適用できます。
• 1 つのサービス インスタンスに適用できる ACL の最大数は 1 です。すでにレイヤ 2 ACL があるサービス インスタンスにレイヤ 2 ACL を適用した場合、新しい ACL が古い ACL と置換されます。
• サービス インスタンスには、名前付き ACL だけを適用できます。コマンド構文 ACL は変更されていません。ACL の作成には mac access-list extended コマンドを使用します。
• show ethernet service instance コマンドを使用すると、サービス インスタンスの ACL に関する詳細情報を表示できます。
EVC 上のレイヤ 2 アクセス コントロール リストの設定方法
• 「サービス インスタンスへのレイヤ 2 ACL の適用」
• 「サービス インスタンス上での ACE のあるレイヤ 2 ACL の設定」
• 「サービス インスタンス上のレイヤ 2 ACL の存在確認」
レイヤ 2 ACL の作成
手順の概要
3. mac access-list extended name
4. permit {{ src-mac mask | any } { dest-mac mask | any } [ protocol [ vlan vlan ] [ cos value ]]}
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
拡張 MAC ACL を定義し、CLI を MAC アクセス リスト コントロール コンフィギュレーション モードにします。 |
|
permit {{src-mac mask | any} {dest-mac mask | any} [protocol [vlan vlan] [cos value]]} |
サービス インスタンスへのレイヤ 2 ACL の適用
サービス インスタンスにレイヤ 2 ACL を適用するには、次のタスクを実行します。
(注) パケット フィルタリングは、ACL を作成し、サービス インスタンスに適用した後にだけ実行されることに注意してください。
前提条件
サービス インスタンスに ACL を適用する前に、 mac access-list extended コマンドを使用して ACL を作成しておく必要があります。「レイヤ 2 ACL の作成」を参照してください。
手順の概要
4. service instance id ethernet
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
||
|
|
インターフェイス上でイーサネット サービス インスタンスを設定し、CLI をイーサネット サービス コンフィギュレーション モードにします。 |
|
|
|
インターフェイス上の入力 dot1q フレームを、適切なサービス インスタンスにマッピングするために使用する照合基準を定義します。 |
|
mac access-group access-list-name in |
サービス インスタンス上での ACE のあるレイヤ 2 ACL の設定
同じ ACL に 3 つの ACE を設定し、サービス インスタンスでその他すべてのトラフィックを遮断するには、次のタスクを実行します。
手順の概要
3. mac access-list extended name
4. permit {src-mac mask | any } {dest-mac mask | any }
5. permit {src-mac mask | any } {dest-mac mask | any }
6. permit {src-mac mask | any } {dest-mac mask | any }
10. service instance id ethernet
手順の詳細
サービス インスタンス上のレイヤ 2 ACL の存在確認
EVC 上にレイヤ 2 ACL が存在することを確認するには、次のタスクを実行します。この確認タスクは、ACL の設定後に ACL の存在を確認するために実行できます。
手順の概要
3. show ethernet service instance id id interface type number detail
手順の詳細
EVC 上のレイヤ 2 アクセス コントロール リストの設定例
• 「サービス インスタンスへのレイヤ 2 ACL の適用:例」
• 「同じインターフェイス上の 3 つのサービス インスタンスに対するレイヤ 2 ACL の適用:例」
• 「サービス インスタンス上のレイヤ 2 ACL に関する詳細情報の表示:例」
ACE のあるレイヤ 2 ACL の作成:例
次に、2 つの許可 ACE のある、mac-11-acl というレイヤ 2 ACL を作成する方法の例を示します。
サービス インスタンスへのレイヤ 2 ACL の適用:例
次に、サービス インスタンスに mac-20-acl というレイヤ 2 ACL を適用する方法の例を示します。この ACL には 5 つの許可 ACE が割り当てられ、その他のトラフィックはすべて許可されません。
permit 00aa.bbcc.adec 0.0.0 any
permit 00aa.bbcc.bdec 0.0.0 any
permit 00aa.bbcc.cdec 0.0.0 any
permit 00aa.bbcc.edec 0.0.0 any
permit 00aa.bbcc.fdec 0.0.0 any
同じインターフェイス上の 3 つのサービス インスタンスに対するレイヤ 2 ACL の適用:例
次に、同じインターフェイス上の 3 つのサービス インスタンスに、mac-07-acl というレイヤ 2 ACL を適用する方法の例を示します。
permit 00aa.bbcc.adec 0.0.0 any
permit 00aa.bbcc.bdec 0.0.0 any
permit 00aa.bbcc.cdec 0.0.0 any
サービス インスタンス上のレイヤ 2 ACL に関する詳細情報の表示:例
次に、サービス インスタンス上の test-acl というレイヤ 2 ACL の詳細情報の出力例を示します。
表 1 に、出力内にある重要なフィールドを示します。
|
|
|
|---|---|
その他の参考資料
ここでは、EVC 上のレイヤ 2 アクセス コントロール リスト機能に関連する参考資料を示します。
関連資料
|
|
|
|---|---|
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
シスコのテクニカル サポート
コマンド リファレンス
このモジュールに記載されている 1 つ以上の機能で、次のコマンドが追加または変更されています。これらのコマンドの詳細については、『 Cisco IOS Carrier Ethernet Command Reference 』( http://www.cisco.com/en/US/docs/ios/carrier_ethernet/command/reference/ce_book.html )を参照してください。すべての Cisco IOS コマンドの詳細については、 http://tools.cisco.com/Support/CLILookup にある Command Lookup Tool を使用するか、 http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html にある『 Cisco IOS Master Command List, All Releases 』を参照してください。
EVC 上のレイヤ 2 アクセス コントロール リストに関する機能情報
表 2 に、この機能のリリース履歴を示します。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドのリリース情報については、コマンド リファレンス マニュアルを参照してください。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、Cisco IOS、Catalyst OS、Cisco IOS XE ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 2 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連の Cisco IOS ソフトウェア リリースでもサポートされます。
|
|
|
|
|---|---|---|
EVC 上のレイヤ 2 アクセス コントロール リスト機能によって、EVC に ACL が導入されます。 次のコマンドが、新たに導入または変更されました。 interface、mac access-group in 、 mac access-list extended、show ethernet service instance |
フィードバック