Cisco IOS XE 17.x セキュリティおよび VPN 設定ガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2024年10月22日火曜日

章のタイトル： ACL IP オプションの選択的ドロップ

ACL IP オプションの選択的ドロップ
ACL IP オプションの選択的ドロップの制約事項
ACL IP オプションの選択的ドロップに関する情報
- ACL IP オプションの選択的ドロップの使用
- ACL IP オプションの選択的ドロップを使用する利点
ACL IP オプションの選択的ドロップの設定方法
- ACL IP オプションの選択的ドロップの設定
ACL IP オプションの選択的ドロップの設定例
- 例：ACL IP オプションの選択的ドロップの設定
- 例：ACL IP オプションの選択的ドロップの確認
IP アクセスリストエントリシーケンス番号の追加情報
ACL IP オプションの選択的ドロップに関する機能情報

ACL IP オプションの選択的ドロップ

ACL IP オプションの選択的ドロップ機能を使用すると、Cisco ルータが IP オプションが設定されたパケットをフィルタしたり、ルータまたはダウンストリームルータ上での IP オプションの影響を軽減したりすることができるようになります。これは、これらのパケットをドロップするか、IP オプションの処理を無視することによって行われます。

ACL IP オプションの選択的ドロップの制約事項

リソース予約プロトコル（RSVP）（マルチプロトコルラベルスイッチングトラフィックエンジニアリング（MPLS TE））、Internet Group Management Protocol バージョン 2（IGMPv2）、および IP オプションパケットを使用するその他のプロトコルは、ドロップまたは無視モードでは機能しない可能性があります。

ACL IP オプションの選択的ドロップに関する情報

ACL IP オプションの選択的ドロップの使用

ACL IP オプションの選択的ドロップ機能を使用すると、IP オプションが設定されたパケットをルータでフィルタできるようになります。これにより、これらのパケットのルータまたはダウンストリームルータへの影響を軽減し、次の手順を実行できます。

受信した IP オプションパケットをすべてドロップし、オプションがネットワークの奥深くまで入り込まないようにします。
そのルータ宛ての IP オプションパケットを無視し、IP オプションが設定されていないものとして扱います。

多くのユーザーにとっては、パケットのドロップが最善策であると言えます。ただし、正規の IP オプションが存在する可能性のある環境では、ルータ上のパケットのロード処理を減らすだけで十分です。したがって、ルータ上のオプション処理をスキップしたうえで、ピュア IP であるかのようにパケットを転送することができます。

ACL IP オプションの選択的ドロップを使用する利点

ドロップモードでは、ネットワークからのパケットをフィルタすることで、オプションパケットからロードするというダウンストリームルータおよびホストの負荷を軽減できます。
ドロップモードでは、分散システム上でのルートプロセッサ（RP）処理が必要となるオプションの RP へのロードが最小限に抑えられます。以前は、パケットは常に RP CPU でルーティングまたは処理されていました。現在は、無視またはドロップすることで、パケットが RP パフォーマンスに影響を及ぼすことを回避できます。

ACL IP オプションの選択的ドロップの設定方法

ACL IP オプションの選択的ドロップの設定

ここでは、ACL IP オプションの選択的ドロップ機能を設定する方法について説明します。

SUMMARY STEPS

enable
configure terminal
ip options {drop | ignore }
exit
show ip traffic

DETAILED STEPS

	Command or Action	Purpose
Step 1	enable Example: `Router> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
Step 2	configure terminal Example: `Router# configure terminal`	グローバルコンフィギュレーションモードを開始します。
Step 3	ip options {drop \| ignore } Example: `Router(config)# ip options drop`	ルータに送信された IP オプションパケットをドロップまたは無視します。
Step 4	exit Example: `Router(config)# exit`	特権 EXEC モードに戻ります。
Step 5	show ip traffic Example: `Router# show ip traffic`	（任意）IP トラフィックの統計情報を表示します。

ACL IP オプションの選択的ドロップの設定例

例：ACL IP オプションの選択的ドロップの設定

次に、ネットワークに入ったすべてのオプションパケットをドロップするように、ルータ（およびダウンストリームルータ）を設定する例を示します。


Router(config)# ip options drop
% Warning:RSVP and other protocols that use IP Options packets may not function in drop or ignore modes.
end

例：ACL IP オプションの選択的ドロップの確認

この出力例は、ip options drop コマンドを使用した後に表示されます。


Router# show ip traffic 
IP statistics:
  Rcvd:  428 total, 323 local destination
         0 format errors, 0 checksum errors, 0 bad hop count
         0 unknown protocol, 0 not a gateway
         0 security failures, 0 bad options, 0 with options
  Opts:  0 end, 0 nop, 0 basic security, 0 loose source route
         0 timestamp, 0 extended security, 0 record route
         0 stream ID, 0 strict source route, 0 alert, 0 cipso, 0 ump
         0 other, 30 ignored
  Frags: 0 reassembled, 0 timeouts, 0 couldn't reassemble
         0 fragmented, 0 fragments, 0 couldn't fragment
  Bcast: 0 received, 0 sent
  Mcast: 323 received, 809 sent
  Sent:  809 generated, 591 forwarded
  Drop:  0 encapsulation failed, 0 unresolved, 0 no adjacency
         0 no route, 0 unicast RPF, 0 forced drop, 0 unsupported-addr
         0 options denied, 0 source IP address zero

IP アクセスリストエントリシーケンス番号の追加情報

ここでは、IP アクセスリストに関する関連資料について説明します。

関連項目	マニュアルタイトル
IP アクセスリストの設定	『Creating an IP Access List and Applying It to an Interface』
IP アクセスリストコマンド	『Cisco IOS Security Command Reference: Commands A to C』『Cisco IOS Security Command Reference: Commands D to L』『Cisco IOS Security Command Reference: Commands M to R』『Cisco IOS Security Command Reference: Commands S to Z』

シスコのテクニカルサポート


説明	リンク
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンラインリソースを提供しています。お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service（Field Notice からアクセス）、Cisco Technical Services Newsletter、Really Simple Syndication（RSS）フィードなどの各種サービスに加入できます。シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。	http://www.cisco.com/en/US/support/index.html

ACL IP オプションの選択的ドロップに関する機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェアリリーストレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。

Table 1. ACL IP オプションの選択的ドロップに関する機能情報
機能名	リリース	機能情報
ACL IP オプションの選択的ドロップ	Cisco IOS XE リリース 2.1	ACL IP オプションの選択的ドロップ機能を使用すると、Cisco ルータが IP オプションが設定されたパケットをフィルタしたり、ルータまたはダウンストリームルータ上での IP オプションの影響を軽減したりすることができるようになります。これは、これらのパケットをドロップするか、IP オプションの処理を無視することによって行われます。この機能は、Cisco ASR 1000 シリーズのアグリゲーションサービスルータで導入されました。次のコマンドが導入されました。ip options

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco IOS XE 17.x セキュリティおよび VPN 設定ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ACL IP オプションの選択的ドロップ

ACL IP オプションの選択的ドロップ

ACL IP オプションの選択的ドロップの制約事項

ACL IP オプションの選択的ドロップに関する情報

ACL IP オプションの選択的ドロップの使用

ACL IP オプションの選択的ドロップを使用する利点

ACL IP オプションの選択的ドロップの設定方法

ACL IP オプションの選択的ドロップの設定

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

ACL IP オプションの選択的ドロップの設定例

例：ACL IP オプションの選択的ドロップの設定

例：ACL IP オプションの選択的ドロップの確認

IP アクセス リスト エントリ シーケンス番号の追加情報

関連資料

シスコのテクニカル サポート

ACL IP オプションの選択的ドロップに関する機能情報

このドキュメントは役に立ちましたか?

シスコに問い合わせ

IP アクセスリストエントリシーケンス番号の追加情報

シスコのテクニカルサポート