Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ L2VPN およびイーサネット サービス コンフィギュレーション ガイド Cisco IOS XR ソフトウェア リリース 4.3.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: レイヤ 2 アクセス リストの実装
レイヤ 2 アクセス リストの実装
イーサネット サービス アクセス コントロール リスト(ACL)は、レイヤ 2 ネットワーク トラフィック プロファイルを集合的に定義する 1 つ以上のアクセス コントロール エントリ(ACE)で構成されます。このプロファイルは、Cisco IOS XR ソフトウェア機能によって参照できます。各イーサネット サービス ACL には、送信元および宛先アドレス、サービス クラス(CoS)、または VLAN ID などの基準に基づいたアクション要素(許可または拒否)が含まれます。
このモジュールでは、Cisco ASR 9000 シリーズ アグリゲーション サービス ルータでのイーサネット サービス アクセス リストの実装に必要なタスクについて説明します。
(注) このモジュールに記載されているイーサネット サービス アクセス リスト コマンドの詳細については、マニュアル『Cisco ASR 9000 Series Aggregation Services Router IP Addresses and Services Command Reference』の「Ethernet Services (Layer 2) Access List Commands on Cisco ASR 9000 Series Routers」を参照してください。この章で使用される他のコマンドの説明については、コマンド リファレンスのマスター索引を参照するか、またはオンラインで検索してください。
Cisco ASR 9000 シリーズ ルータでのイーサネット サービス アクセス リスト実装の機能履歴
|
|
|
内容
レイヤ 2 アクセス リスト実装の前提条件
この前提条件は、アクセス リストおよびプレフィクス リストの実装に適用されます。
このコマンド リファレンスには、各コマンドに必要なタスク ID が含まれます。 このコマンド リファレンスには、各コマンドに必要なタスク ID が含まれます。
レイヤ 2 アクセス リストの実装に関する情報
イーサネット サービス アクセス リストを実装するには、次の概念を理解している必要があります。
•
「イーサネット サービス アクセス リスト機能のハイライト」
• 「イーサネット サービス アクセス リスト エントリのシーケンス番号」
イーサネット サービス アクセス リスト機能のハイライト
イーサネット サービス アクセス リストには、次の機能のハイライトがあります。
• 特定のシーケンス番号を使用してアクセス リストのカウンタをクリアする機能。
• 別のアクセス リストに既存のアクセス リストの内容をコピーする機能。
• ユーザがシーケンス番号を permit または deny ステートメントに追加し、そのようなステートメントのシーケンスの再設定、追加、または名前付きアクセス リストからの削除を行うことができるようにします。
• パケットを転送するためにインターフェイスでパケット フィルタリングを実行します。
• イーサネット サービス ACL は、インターフェイス、VLAN サブインターフェイス、バンドル イーサネット インターフェイス、EFP、バンドル イーサネット インターフェイスを介した EFP で適用できます。イーサネット サービス ACL のアトミック置換は、これらの物理インターフェイスでサポートされています。
イーサネット サービス アクセス リストの目的
イーサネット サービス アクセス リストは、ACL ベースの転送(ABF)を使用して、ネットワークを介して移動するパケットおよび場所を制御するパケット フィルタリングを実行します。そのような制御は、着信および発信ネットワーク トラフィックを制限し、ポート レベルでネットワークにユーザおよびデバイスのアクセスを制限するために役立ちます。
イーサネット サービス アクセス リストの機能
イーサネット サービス アクセス リストは、レイヤ 2 設定に適用される、permit および deny ステートメントで構成される順序付きリストです。アクセス リストには、参照に使用される名前があります。
アクセス リストを設定して名前を付けることは可能ですが、アクセス リストを受け取るコマンドによってアクセス リストが参照されるまで、有効にはなりません。複数のコマンドから同じアクセス リストを参照できます。アクセス リストで、ルータに到達するレイヤ 2 トラフィック、またはルータ経由で送信されるレイヤ 2 トラフィックは制御できますが、ルータが送信元のトラフィックは制御できません。
イーサネット サービス アクセス リストのプロセスおよびルール
イーサネット サービス アクセス リストの設定時は、次のプロセスとルールを使用します。
• ソフトウェアは、アクセス リストの条件に対してフィルタされる各パケットの送信元アドレスや宛先アドレスをテストします。一度に 1 つの条件(permit または deny ステートメント)がテストされます。
• パケットがアクセス リストのステートメントに一致しないと、そのパケットはリスト内の次のステートメントに対してテストされます。
• パケットとアクセス リストのステートメントが一致すると、リスト内の残りのステートメントはスキップされ、パケットは一致したステートメントに指定されたとおりに許可または拒否されます。パケットが許可されるか拒否されるかは、パケットが一致する最初のエントリによって決まります。つまり、一致すると、それ以降のエントリは考慮されません。
• アクセス リストがアドレスまたはプロトコルを拒否する場合は、ソフトウェアはパケットを廃棄します。
• 各アクセス リストの最後には暗黙の deny ステートメントがあるため、一致する条件がない場合は、パケットはドロップされます。つまり、各ステートメントに対してテストするときまでにパケットを許可または拒否しないと、パケットは拒否されます。
• アクセス リストには permit ステートメントを 1 つ以上含める必要があります。そうしないと、パケットはすべて拒否されます。
• 最初に一致が見つかった後は条件のテストが終了するため、条件の順序は重要です。同じ permit ステートメントまたは deny ステートメントでも、順序が異なる場合、ある状況では通過し、別の状況では拒否されるパケットが生じる可能性があります。
• インバウンド アクセス リストは、ルータに到達するパケットを処理します。着信パケットの処理後に、アウトバウンド インターフェイスへのルーティングが行われます。インバウンド アクセス リストが効率的なのは、フィルタリング テストで拒否されたことでパケットが廃棄される場合、ルーティング検索のオーバーヘッドが抑えられるためです。パケットがテストで許可されると、そのパケットに対してルーティングの処理が実施されます。インバウンド リストの場合、許可とは、インバウンド インターフェイスでパケットの受信後に処理が続行されることを示します。 拒否 とは、パケットが廃棄されることを示します。
• アウトバウンド アクセス リストの場合、パケットの処理後にルータから送信されます。着信パケットはアウトバウンド インターフェイスにルーティングされてから、アウトバウンド アクセス リストで処理されます。アウトバウンド リストの場合、許可とは、出力バッファに対して送信されることを示し、拒否とは、パケットが廃棄されることを示します。
• アクセス リストは、使用中のアクセス グループによって適用されている場合には削除できません。アクセス リストを削除するには、まずアクセス リストを参照しているアクセス グループを削除してから、アクセス リストを削除します。
• アクセス リストは、 ethernet-services access-group コマンドを使用する前に存在している必要があります。
イーサネット サービス アクセス リストを作成する際に役立つヒント
イーサネット サービス アクセス リストの作成時は、次の点に注意してください。
送信元アドレスと宛先アドレス
送信元 MAC アドレスと宛先 MAC アドレスの 2 つのフィールドは、アクセス リストの基礎として最も一般的なフィールドです。送信元 MAC アドレスを指定して、特定のネットワーキング デバイスまたはホストからのパケットを制御します。宛先 MAC アドレスを指定して、特定のネットワーキング デバイスまたはホストに送信されるパケットを制御します。
イーサネット サービス アクセス リスト エントリのシーケンス番号
イーサネット サービス アクセス リスト エントリにシーケンス番号を適用する機能によって、アクセス リストの変更が簡単になります。アクセス リスト エントリのシーケンス番号機能を使用すると、アクセス リスト エントリにシーケンス番号を追加して、シーケンス番号を再設定できます。新しいエントリを追加する場合、アクセス リストの目的の位置に挿入されるようにシーケンス番号を選択します。必要に応じて、アクセス リストの現在のエントリを並べ替えて、新しいエントリを挿入できる場所を作成できます。
シーケンス番号の動作
• シーケンス番号のないエントリを複数適用すると、最初のエントリにシーケンス番号 10 が割り当てられ、それ以降のエントリには 10 ずつ増分したシーケンス番号が割り当てられます。最大シーケンス番号は 2147483646 です。生成したシーケンス番号がこの最大値を超えると、次のメッセージが表示されます。
• シーケンス番号のないエントリを 1 つ指定すると、アクセス リストの最後のシーケンス番号に 10 を加えたシーケンス番号が割り当てられ、リストの末尾に配置されます。
• ACL エントリは、トラフィック フローにもハードウェアのパフォーマンスにも影響を及ぼすことなく追加できます。
• ルート スイッチ プロセッサ(RSP)とインターフェイス カードにあるエントリのシーケンス番号が常に同期されるよう、分散サポートが提供されます。
レイヤ 2 アクセス リストの実装方法
• 「イーサネット サービス アクセス リストの設定」(任意)
• 「イーサネット サービス アクセス リストの適用」(任意)
• 「アクセス リスト エントリの並べ替え」(任意)
レイヤ 2 アクセス リスト実装の制約事項
次の制約事項が、イーサネット サービス アクセス リストの実装に適用されます。
イーサネット サービス アクセス リストの設定
手順の概要
2. ethernet-service access-list name
3. [ sequence-number ] {permit | deny} { src-mac-address src-mac-mask | any | host } [{ ethertype-number } | vlan min-vlan-ID [ max-vlan-ID ]] [ cos cos-value ] [ dei ] [ inner-vlan min-vlan-ID [ max-vlan-ID ]] [ inner-cos cos-value ] [ inner-dei ]
4. 必要に応じてステップ 3 を繰り返し、計画したシーケンス番号でステートメントを追加します。エントリを削除するには、 no sequence-number コマンドを使用します。
6. show access-lists ethernet-services [ access-list-name | maximum | standby | summary ]
手順の詳細
次の作業
イーサネット サービス アクセス リストの作成後に、インターフェイスに適用する必要があります。アクセス リストの適用方法の詳細については、 イーサネット サービス アクセス リストの適用の項を参照してください。
イーサネット サービス アクセス リストの適用
作成したアクセス リストを機能させるには、そのアクセス リストを参照する必要があります。アクセス リストは、発信または着信インターフェイスのいずれかに適用できます。ここでは、端末回線とネットワーク インターフェイスの両方に対してこのタスクを実行するためのガイドラインを示します。
着信アクセス リストでは、パケットを受信した後で、Cisco IOS XR ソフトウェアは、アクセス リストに対してパケットの送信元 MAC アドレスを検査します。アクセス リストがアドレスを許可している場合は、パケットの処理を継続します。アクセス リストがアドレスを拒否する場合は、ソフトウェアはパケットを廃棄します。
発信アクセス リストでは、パケットを受信して制御インターフェイスにルーティングした後で、ソフトウェアは、アクセス リストに対してパケットの送信元 MAC アドレスを検査します。アクセス リストがアドレスを許可している場合は、パケットを送信します。アクセス リストがアドレスを拒否する場合は、ソフトウェアはパケットを廃棄します。
(注) 空のアクセス リスト(アクセス コントロール エレメントが含まれていない)は、インターフェイスに適用できません。
インターフェイスへのアクセスの制御
このタスクでは、アクセス リストをインターフェイスに適用して、そのインターフェイスへのアクセスを制限します。アクセス リストは、発信インターフェイスまたは着信インターフェイスに適用できます。
手順の概要
3. ethernet-service access-group access-list-name { ingress | egress }
手順の詳細
イーサネット サービス アクセス リストのコピー
手順の概要
1. copy access-list ethernet-service source-acl destination-acl
2. show access-lists ethernet-services [ access-list-name | maximum | standby | summary ]
手順の詳細
アクセス リスト エントリの並べ替え
ここでは、名前付きアクセス リストのエントリにシーケンス番号を再割り当てする例を示します。アクセス リストの並べ替えは任意です。
手順の概要
1. resequence access-list ethernet-service access-list-name [ starting-sequence-number [ increment ]]
3. show access-lists ethernet-services [ access-list-name | maximum | standby | summary ]
手順の詳細
レイヤ 2 アクセス リストを実装するための設定例
アクセス リストのエントリの並べ替え:例
次に、アクセス リストの並べ替え例を示します。並べ替えられたアクセス リストの先頭の値は 1、増分値は 2 です。後続のエントリはユーザ指定の増分値に基づいて並べられています。範囲は 1 ~ 2147483646 です。
シーケンス番号のないエントリが入力されると、デフォルトで、アクセス リストの最後のエントリのシーケンス番号に 10 を加えたシーケンス番号が割り当てられます。
シーケンス番号を指定したエントリの追加:例
この例では、新しいエントリをイーサネット サービス アクセス リスト acl_5 に追加します。
その他の関連資料
ここでは、Cisco ASR 9000 シリーズ ルータでのイーサネット サービス アクセス リストの実装に関する参考資料を紹介します。
関連資料
標準
|
|
|
|---|---|
MIB
|
|
|
|---|---|
Cisco IOS XR ソフトウェアを使用している MIB を特定してダウンロードするには、次の URL にある Cisco MIB Locator を使用し、[Cisco Access Products] メニューからプラットフォームを選択します。 http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
RFC
|
|
|
|---|---|
この機能によりサポートされた新規 RFC または改訂 RFC はありません。またこの機能による既存 RFC のサポートに変更はありません。 |
シスコのテクニカル サポート
|
|
|
|---|---|
シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、技術的なヒント、およびツールへのリンクなどの、数千ページに及ぶ技術情報が検索可能です。Cisco.com に登録済みのユーザは、このページから詳細情報にアクセスできます。 |
フィードバック