レイヤ 2 アクセス リスト実装の前提条件
この前提条件は、アクセスリストおよびプレフィックスリストの実装に適用されます。
適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。このコマンド リファレンスには、各コマンドに必要なタスク ID が含まれます。
ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
イーサネット サービス アクセス コントロール リスト(ACL)は、レイヤ 2 ネットワーク トラフィック プロファイルを集合的に定義する 1 つ以上のアクセス コントロール エントリ(ACE)で構成されます。このプロファイルは、Cisco IOS XR ソフトウェア機能で参照できます。各イーサネット サービス ACL には、送信元および宛先アドレス、サービス クラス(CoS)、または VLAN ID などの基準に基づいたアクション要素(許可または拒否)が含まれます。
このモジュールでは、Cisco ASR 9000 シリーズ アグリゲーション サービス ルータでのイーサネット サービス アクセス リストの実装に必要なタスクについて説明します。
(注) |
このモジュールに記載されているイーサネット サービス アクセス リスト コマンドの詳細については、『Cisco ASR 9000 Series Aggregation Services Router IP Addresses and Services Command Reference』の「Ethernet Services (Layer 2) Access List Commands on Cisco ASR 9000 Series Routers」モジュールを参照してください。この章で使用される他のコマンドの説明については、コマンド リファレンスのマスター索引を参照するか、またはオンラインで検索してください。 |
Cisco ASR 9000 シリーズ ルータでのイーサネット サービス アクセス リスト実装の機能履歴
リリース |
変更内容 |
---|---|
リリース 3.7.2 |
この機能は、Cisco ASR 9000 シリーズ ルータに追加されました。 |
この前提条件は、アクセスリストおよびプレフィックスリストの実装に適用されます。
適切なタスク ID を含むタスク グループに関連付けられているユーザ グループに属している必要があります。このコマンド リファレンスには、各コマンドに必要なタスク ID が含まれます。
ユーザ グループの割り当てが原因でコマンドを使用できないと考えられる場合、AAA 管理者に連絡してください。
イーサネット サービス アクセス リストには、次の機能のハイライトがあります。
特定のシーケンス番号を使用してアクセス リストのカウンタをクリアする機能。
別のアクセス リストに既存のアクセス リストの内容をコピーする機能。
ユーザがシーケンス番号を permit または deny ステートメントに追加し、そのようなステートメントのシーケンスの再設定、追加、または名前付きアクセス リストからの削除を行うことができるようにします。
パケットを転送するためにインターフェイスでパケット フィルタリングを実行します。
イーサネット サービス ACL は、インターフェイス、VLAN サブインターフェイス、バンドル イーサネット インターフェイス、EFP、バンドル イーサネット インターフェイスを介した EFP で適用できます。イーサネット サービス ACL のアトミック置換は、これらの物理インターフェイスでサポートされています。
イーサネット サービス アクセス リストは、ACL ベースの転送(ABF)を使用して、ネットワークを介して移動するパケットおよび場所を制御するパケット フィルタリングを実行します。そのような制御は、着信および発信ネットワーク トラフィックを制限し、ポート レベルでネットワークにユーザおよびデバイスのアクセスを制限するために役立ちます。
イーサネット サービス アクセス リストは、レイヤ 2 設定に適用される、permit および deny ステートメントで構成される順序付きリストです。アクセス リストには、参照に使用される名前があります。
アクセス リストを設定して名前を付けることは可能ですが、アクセス リストを受け取るコマンドによってアクセス リストが参照されるまで、有効にはなりません。複数のコマンドから同じアクセス リストを参照できます。アクセス リストで、ルータに到達するレイヤ 2 トラフィック、またはルータ経由で送信されるレイヤ 2 トラフィックは制御できますが、ルータが送信元のトラフィックは制御できません。
イーサネット サービス アクセス リストの設定時は、次のプロセスとルールを使用します。
ソフトウェアは、アクセス リストの条件に対してフィルタされる各パケットの送信元アドレスや宛先アドレスをテストします。一度に 1 つの条件(permit または deny ステートメント)がテストされます。
パケットがアクセス リストのステートメントに一致しないと、そのパケットはリスト内の次のステートメントに対してテストされます。
パケットとアクセス リストのステートメントが一致すると、リスト内の残りのステートメントはスキップされ、パケットは一致したステートメントに指定されたとおりに許可または拒否されます。パケットが許可されるか拒否されるかは、パケットが一致する最初のエントリによって決まります。つまり、一致すると、それ以降のエントリは考慮されません。
アクセス リストがアドレスまたはプロトコルを拒否する場合は、ソフトウェアはパケットを廃棄します。
各アクセス リストの最後には暗黙の deny ステートメントがあるため、一致する条件がない場合は、パケットはドロップされます。つまり、各ステートメントに対してテストするときまでにパケットを許可または拒否しないと、パケットは拒否されます。
アクセス リストには permit ステートメントを 1 つ以上含める必要があります。そうしないと、パケットはすべて拒否されます。
最初に一致が見つかった後は条件のテストが終了するため、条件の順序は重要です。同じ permit ステートメントまたは deny ステートメントでも、順序が異なる場合、ある状況では通過し、別の状況では拒否されるパケットが生じる可能性があります。
インバウンド アクセス リストは、ルータに到達するパケットを処理します。着信パケットの処理後に、アウトバウンド インターフェイスへのルーティングが行われます。インバウンド アクセス リストが効率的なのは、フィルタリング テストで拒否されたことでパケットが廃棄される場合、ルーティング検索のオーバーヘッドが抑えられるためです。パケットがテストで許可されると、そのパケットに対してルーティングの処理が実施されます。インバウンド リストの場合、permit とは、インバウンド インターフェイスで受信したパケットを引き続き処理することを意味します。deny とは、パケットを破棄することです。
アウトバウンド アクセス リストの場合、パケットの処理後にルータから送信されます。着信パケットはアウトバウンド インターフェイスにルーティングされてから、アウトバウンド アクセス リストで処理されます。アウトバウンド リストの場合、許可とは、出力バッファに対して送信されることを示し、拒否とは、パケットが廃棄されることを示します。
アクセス リストは、使用中のアクセス グループによって適用されている場合には削除できません。アクセス リストを削除するには、まずアクセス リストを参照しているアクセス グループを削除してから、アクセス リストを削除します。
ethernet-services access-group コマンドを使用するには、アクセス リストが必要です。
イーサネット サービス アクセス リストの作成時は、次の点に注意してください。
アクセス リストは、インターフェイスに適用する前に作成します。
より具体的な参照が、より全般的な参照よりも前に出現するように、アクセス リストを構成します。
送信元 MAC アドレスと宛先 MAC アドレスの 2 つのフィールドは、アクセス リストの基礎として最も一般的なフィールドです。送信元 MAC アドレスを指定して、特定のネットワーキング デバイスまたはホストからのパケットを制御します。宛先 MAC アドレスを指定して、特定のネットワーキング デバイスまたはホストに送信されるパケットを制御します。
イーサネット サービス アクセス リスト エントリにシーケンス番号を適用する機能によって、アクセス リストの変更が簡単になります。アクセス リスト エントリのシーケンス番号機能を使用すると、アクセス リスト エントリにシーケンス番号を追加して、シーケンス番号を再設定できます。新しいエントリを追加する場合、アクセス リストの目的の位置に挿入されるようにシーケンス番号を選択します。必要に応じて、アクセス リストの現在のエントリを並べ替えて、新しいエントリを挿入できる場所を作成できます。
次に、シーケンス番号の動作について詳細に説明します。
シーケンス番号のないエントリを複数適用すると、最初のエントリにシーケンス番号 10 が割り当てられ、それ以降のエントリには 10 ずつ増分したシーケンス番号が割り当てられます。最大シーケンス番号は 2147483646 です。生成したシーケンス番号がこの最大値を超えると、次のメッセージが表示されます。
Exceeded maximum sequence number.
シーケンス番号のないエントリを 1 つ指定すると、アクセス リストの最後のシーケンス番号に 10 を加えたシーケンス番号が割り当てられ、リストの末尾に配置されます。
ACL エントリは、トラフィック フローにもハードウェアのパフォーマンスにも影響を及ぼすことなく追加できます。
ルート スイッチ プロセッサ(RSP)とインターフェイス カードにあるエントリのシーケンス番号が常に同期されるよう、分散サポートが提供されます。
次の制限事項が、イーサネット サービス アクセス リストの実装に適用されます。
イーサネット サービス アクセス リストは、管理インターフェイスではサポートされていません。
NetIO(ソフトウェア低速パス)は、イーサネット サービス アクセス リストではサポートされません。
内部 VLAN 0 と外部 VLAN 0 での一致は、Cisco ASR 9000 高密度 100GE イーサネットラインカードおよび ASR 9000 拡張イーサネットラインカードではサポートされていません。
このタスクでは、イーサネット サービス アクセス リストを設定します。
ステップ 1 |
configure 例:
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
ethernet-service access-list name 例:
イーサネット サービス アクセス リスト コンフィギュレーション モードを開始し、アクセス リスト L2ACL2 を設定します。 |
ステップ 3 |
[ sequence-number ] { permit | deny } { src-mac-address src-mac-mask | any | host } [ { ethertype-number } | vlan min-vlan-ID [ max-vlan-ID ] ] [ cos cos-value ] [ dei ] [ inner-vlan min-vlan-ID [ max-vlan-ID] ] inner-cos cos-value ] [ inner-dei ] 例:
パケットの通過またはドロップを決定する許可または拒否の条件を 1 つ以上指定します。 |
ステップ 4 |
必要に応じてステップ 3 を繰り返し、計画したシーケンス番号でステートメントを追加します。エントリを削除するには、no sequence-number コマンドを使用します。 アクセス リストは変更できます。 |
ステップ 5 |
commit コマンドまたは end コマンドを使用します。 commit :設定の変更を保存し、コンフィギュレーション セッションに留まります。 end :次のいずれかのアクションを実行することをユーザに要求します。
|
イーサネット サービス アクセス リストの作成後に、インターフェイスに適用する必要があります。アクセスリストを適用する方法については、「イーサネット サービス アクセス リストの適用」セクションを参照してください。
作成したアクセス リストを機能させるには、そのアクセス リストを参照する必要があります。アクセス リストは、発信インターフェイスまたは着信インターフェイスに適用できます。ここでは、端末回線とネットワーク インターフェイスの両方に対してこのタスクを実行するためのガイドラインを示します。
着信アクセスリストでは、パケットを受信した後で、Cisco IOS XR ソフトウェアはアクセスリストを参照してパケットの送信元 MAC アドレスをチェックします。アクセス リストがアドレスを許可している場合は、パケットの処理を継続します。アクセス リストがアドレスを拒否する場合は、ソフトウェアはパケットを廃棄します。
発信アクセス リストでは、パケットを受信して制御インターフェイスにルーティングした後で、ソフトウェアは、アクセス リストに対してパケットの送信元 MAC アドレスを検査します。アクセス リストがアドレスを許可している場合は、パケットを送信します。アクセス リストがアドレスを拒否する場合は、ソフトウェアはパケットを廃棄します。
(注) |
空のアクセス リスト(アクセス コントロール エレメントが含まれていない)は、インターフェイスに適用できません。 |
このタスクでは、アクセス リストをインターフェイスに適用して、そのインターフェイスへのアクセスを制限します。アクセス リストは、発信インターフェイスまたは着信インターフェイスに適用できます。
ステップ 1 |
configure 例:
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
interface type instance 例:
インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。
|
ステップ 3 |
ethernet-services access-group access-list-name { ingress | egress } 例:
インターフェイスへのアクセスを制御します。
この例では、GigabitEthernet 0/2/0/2 から発着信されるパケットにフィルタを適用します。 |
ステップ 4 |
commit コマンドまたは end コマンドを使用します。 commit :設定の変更を保存し、コンフィギュレーション セッションに留まります。 end :次のいずれかのアクションを実行することをユーザに要求します。
|
このタスクでは、イーサネット サービス アクセス リストをコピーします。
ステップ 1 |
copy access-list ethernet-service source-acl destination-acl 例:
既存のイーサネット サービス アクセス リストのコピーを作成します。
|
ステップ 2 |
show access-lists ethernet-services [ access-list-name | maximum | standby | summary ] 例:
(任意)指定されたイーサネット サービス アクセス リストの内容を表示します。たとえば、コピー先の内容を検証して、宛先アクセス リスト list-2 に送信元アクセス リスト list-1 の情報がすべて含まれていることを確認できます。 |
ここでは、名前付きアクセス リストのエントリにシーケンス番号を再割り当てする例を示します。アクセス リストの並べ替えは任意です。
ステップ 1 |
resequence access-list ethernet-service access-list-name [ starting-sequence-number [ increment ] ] 例:
(任意)目的の開始シーケンス番号およびシーケンス番号の増分を使用して、指定されたイーサネット サービス アクセス リストを並べ替えます。
|
||
ステップ 2 |
commit コマンドまたは end コマンドを使用します。 commit :設定の変更を保存し、コンフィギュレーション セッションに留まります。 end :次のいずれかのアクションを実行することをユーザに要求します。
|
||
ステップ 3 |
show access-lists ethernet-services [ access-list-name | maximum | standby | summary ] 例:
(任意)指定されたイーサネット サービス アクセス リストの内容を表示します。
|
次に、アクセス リストの並べ替え例を示します。並べ替えられたアクセスリストの先頭の値は 1、増分値は 2 です。後続のエントリはユーザ指定の増分値に基づいて並べられています。範囲は 1 ~ 2147483646 です。
シーケンス番号のないエントリが入力されると、デフォルトで、アクセス リストの最後のエントリのシーケンス番号に 10 を加えたシーケンス番号が割り当てられます。
ethernet service access-list acl_1
10 permit 1.2.3 4.5.6
20 deny 2.3.4 5.4.3
30 permit 3.1.2 5.3.4 cos 5
resequence access-list ethernet service acl_1 10 20
show access-list ethernet-service acl1_1
ipv4 access-list acl_1
10 permit 1.2.3 4.5.6
30 deny 2.3.4 5.4.3
50 permit 3.1.2 5.3.4 cos 5
ethernet-service access-list acl_5
2 permit 1.2.3 5.4.3
5 permit 2.3.4. 6.5.4 cos 3
10 permit any dei
20 permit 6.5.4 1.3.5 VLAN vlan3
configure
ethernet-service access-list acl_5
15 permit 1.5.7 7.5.1
end
ethernet-service access-list acl_5
2 permit 1.2.3 5.4.3
5 permit 2.3.4. 6.5.4 cos 3
10 permit any dei
15 permit 1.5.7 7.5.1
20 permit 6.5.4 1.3.5 VLAN vlan3