ネットワーク アクセスを制限するための ISG ポリシーに関する情報
ネットワーク アクセスを制限するための ISG ポリシーを設定する前に、次の概念を理解しておく必要があります。
• 「ネットワーク アクセスの制限方法」
ネットワーク アクセスの制限方法
ISG は、ネットワーク アクセスを制限するための次の方法をサポートしています。これらの方法は 1 つの ISG セッションに適用し、動的に更新できます。
Modular QoS CLI(MQC)ポリシー
MQC を使用して設定された QoS ポリシーは、加入者のセッションに対してのみサポートされます。MQC ポリシーは ISG サービスに適用できません。
Dynamic Subscriber Bandwidth Selection(DBS)
DBS では、ATM の Virtual Circuit(VC; 仮想回線)レベルで帯域幅を制御できます。加入者ドメインの ATM QoS パラメータは、PPP over Ethernet(PPPoE)または PPP over ATM(PPPoA)セッションが確立されている、ATM Permanent Virtual Circuit(PVC; 相手先固定接続)に対して適用されます。
(注) Cisco IOS Release 12.2(33)SRC では、Cisco 7600 シリーズ ルータで DBS がサポートされていません。
加入者単位のファイアウォール
加入者単位のファイアウォールは Access Control List(ACL; アクセス コントロール リスト)であり、加入者、サービス、およびパススルー トラフィックが特定の IP アドレスおよびポートにアクセスしないようにするために使用します。加入者単位のファイアウォールは、ユーザ プロファイルおよびサービス プロファイルでは設定できません。
ISG ポリシング
ISG ポリシングは、アップストリームおよびダウンストリームのトラフィックのポリシングをサポートします。ISG ポリシングは MQC を使用して設定したポリシングとは異なります。そうした ISG ポリシングは、サービス プロファイル内で設定でき、トラフィック フローのポリシングをサポートします。MQC ポリシーは、サービス プロファイルでは設定できません。また、ISG ポリシングは、ユーザ プロファイルおよびサービス プロファイルで設定して、セッション ポリシングをサポートすることもできます。
(注) Cisco IOS Release 12.2(33)SRC では、Cisco 7600 シリーズで ISG ポリシングがサポートされていません。
ネットワーク アクセスを制限するための ISG ポリシーの設定方法
ここでは、ISG ポリシングおよび加入者単位のファイアウォールを設定する手順について説明します。MQC ポリシー、DBS、およびネットワーク アクセスを制限するためのポリシーの動的な更新に対するサポートを設定する方法については、「その他の参考資料」を参照してください。
ここでは、次の作業について説明します。
• 「ISG ポリシングの設定」
• 「加入者単位のファイアウォールの設定」
ISG ポリシングの概要
トラフィック ポリシングを使用すると、インターフェイスで送受信されるトラフィックの最大レートを制御できます。多くの場合ポリシングは、ネットワークに出入りするトラフィックを制限するために、ネットワークの終端でインターフェイス上に設定します。このレート パラメータの範囲内に入っているトラフィックが送信されますが、パラメータの範囲外となるトラフィックはドロップされるか、または別の優先順で送信されます。
ISG ポリシングは、アップストリームおよびダウンストリームのトラフィックのポリシングをサポートしており、セッションまたはフローに適用できます。ここでは、Session-Based ポリシング、および Flow-Based ポリシングについて説明します。
Session-Based ポリシング
Session-Based ポリシングは、1 つのセッションに関する加入者トラフィック全体に適用されます。図 6 では、セッション ポリシングが PPPoE クライアントから ISG へ、および ISG から PPPoE クライアントへ移動するすべてのトラフィックに適用されます。
図 6 Session-Based ポリシング
Session-Based ポリシングのパラメータは、トラフィック クラスを指定しないユーザ プロファイルまたはサービス プロファイルのいずれかで、AAA サーバに設定できます。これは、サービス ポリシー マップのルータにも設定できます。ユーザ プロファイルに設定された Session-Based ポリシングのパラメータは、サービス プロファイルまたはサービス ポリシー マップに設定された Session-Based ポリシングのパラメータよりも優先されます。
Flow-Based ポリシング
Flow-Based ポリシングは、トラフィック クラスによって指定された、宛先ベースのトラフィック フローにのみ適用されます。図 7 では、Flow-Based ポリシングで PPPoE クライアントと Internet 1 または Internet 2 の間のトラフィックを制限できます。
図 7 Flow-Based ポリシング
Flow-Based ポリシングは、トラフィック クラスを指定しているサービス プロファイルで、AAA サーバに設定できます。これは、サービス ポリシー マップ内のトラフィック クラスでルータに設定することもできます。Flow-Based ポリシングおよび Session-Based ポリシングは、加入者トラフィック上に共存し、同時に動作可能です。
ルータのサービス ポリシー マップにおけるポリシングの設定
CLI を使用してルータ上に ISG ポリシングを設定するには、この作業を実行します。
手順の概要
1. enable
2. configure terminal
3. policy-map type service policy-map-name
4. [ priority ] class type traffic class-map-name
5. police input committed-rate normal-burst excess-burst
6. police output committed-rate normal-burst excess-burst
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
policy-map type service policy-map-name
Router(config)# policy-map type service service1 |
ISG サービスを定義するために使用される、サービス ポリシー マップを作成または変更します。 |
ステップ 4 |
[ priority ] class type traffic class-map-name
Router(config-service-policymap)# class type traffic silver |
すでに設定されているトラフィック クラスをポリシー マップに関連付けます。 |
ステップ 5 |
police input committed-rate normal-burst excess-burst
Router(config-service-policymap-class-traffic)# police input 20000 30000 60000 |
アップストリーム トラフィックの ISG ポリシングを設定します。 • これらのパラメータは、加入者からネットワークへのトラフィック フローを制限するために使用されます。 |
ステップ 6 |
police output committed-rate normal-burst excess-burst
Router(config-service-policymap-class-traffic)# police output 21000 31500 63000 |
ダウンストリーム トラフィックの ISG ポリシングを設定します。 • これらのパラメータは、ネットワークから加入者へのトラフィック フローを制限するために使用されます。 |
AAA サーバのサービス プロファイルまたはユーザ プロファイルにおけるポリシングの設定
手順の概要
1. AAA サーバのユーザ プロファイルまたはサービス プロファイルにポリシング VSA を追加します。
手順の詳細
|
|
|
ステップ 1 |
次のポリシング Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を AAA サーバのユーザ プロファイルに追加します。 26, 9, 250 "QU; committed-rate ; normal-burst ; excess-burst ;D; committed-rate ; normal-burst ; excess-burst " または AAA サーバのサービス プロファイルに次のポリシング VSA を追加します。 26,9,251 "QU; committed-rate ; normal-burst ; excess-burst ;D; committed-rate ; normal-burst ; excess-burst " |
アップストリームおよびダウンストリームのトラフィックの ISG ポリシングをイネーブルにします。 • committed rate および normal burst を指定すると、excess burst は自動的に計算されます。 • アップストリームまたはダウンストリームのパラメータを最初に指定できます。 |
ISG ポリシングの確認
ISG ポリシングの設定を確認するには、この作業を実行します。
手順の概要
1. enable
2. show subscriber session [ detailed ] [ identifier identifier | uid session-id | username name ]
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
show subscriber session [ detailed ] [ identifier identifier | uid session-id | username name ]
Router# show subscriber session detailed |
ISG 加入者のセッション情報を表示します。 |
例
次に、ポリシング パラメータがサービス プロファイルに設定されている場合の show subscriber session コマンドの出力例を示します。「Config level」フィールドは、ポリシング パラメータが設定されている場所を示しています。この場合は、サービス プロファイル内に設定されています。
Router# show subscriber session detailed
Current Subscriber Information: Total sessions 2
Session inbound features:
Average rate = 24000, Normal burst = 4500, Excess burst = 9000
Session outbound features:
Average rate = 16000, Normal burst = 3000, Excess burst = 6000
次に、アップストリーム ポリシング パラメータがユーザ プロファイルに指定されており、ダウンストリーム ポリシング パラメータがサービス プロファイルに指定されている場合の show subscriber session コマンドの出力例を示します。
Router# show subscriber session all
Current Subscriber Information: Total sessions 2
Session inbound features:
Average rate = 24000, Normal burst = 4500, Excess burst = 9000
Config level = Per-user ===========> Upstream parameters are specified in
Session outbound features:
Average rate = 16000, Normal burst = 3000, Excess burst = 6000
Config level = Service ============> No downstream parameters in the user
profile, hence the parameters in the service profile are applied.
加入者単位のファイアウォール
加入者単位のファイアウォールは Cisco IOS ACL であり、加入者、サービス、およびパススルー トラフィックが特定の IP アドレスおよびポートにアクセスしないようにするために使用します。
ACL は、AAA サーバ上のユーザ プロファイルまたはサービス プロファイル、あるいは ISG のサービス ポリシー マップに設定することができます。ACL は、番号付けまたは名前付けされているアクセス リストで、ISG に設定することができます。また、ACL ステートメントはプロファイルの設定に含めることができます。
サービスに 1 つの ACL を追加すると、そのサービスのすべての加入者は、指定された IP アドレス、サブネット マスク、およびポートの組み合わせに対してサービスからアクセスできなくなります。
ユーザ プロファイルに ACL アトリビュートを追加すると、そのアトリビュートは加入者のすべてのトラフィックにグローバルに適用されます。
前提条件
この作業では、アクセス コントロール リストの設定方法について理解していることが前提になっています。
制約事項
IP ACL のみサポートされています。IPX および IPv6 ACL はサポートされていません。
AAA サーバのユーザ プロファイルまたはサービス プロファイルにおける加入者単位のファイアウォールの設定
AAA サーバのユーザ プロファイルまたはサービス プロファイルに加入者単位のファイアウォールを設定するには、この作業を実行します。
手順の概要
1. ユーザ プロファイルまたはサービス プロファイルに Upstream Access Control List Cisco AV-Pair アトリビュートを追加します。
2. ユーザ プロファイルまたはサービス プロファイルに Downstream Access Control List Cisco AV-Pair アトリビュートを追加します。
手順の詳細
|
|
|
ステップ 1 |
ユーザ プロファイルまたはサービス プロファイルに Upstream Access Control List Cisco AV-Pair アトリビュートを追加します。 Cisco-AVpair="ip:inacl= ACL-number " または Cisco-AVpair="ip:inacl= ACL-name " または Cisco-AVpair="ip:inacl[ #number ]= ACL-statement " |
Cisco IOS ACL が、加入者からのトラフィックに適用されるように指定します。 • ACL-number および ACL-name 引数は、ルータ上に設定されている ACL を表します。 • ACL-statement 引数は、AAA サーバ上のアトリビュート設定に含まれている ACL 定義です。 • 1 つのプロファイル内で、Upstream Access Control List アトリビュートの複数のインスタンスが発生することがあります。ACL ステートメントごとに 1 つのアトリビュートを使用してください。 • 同じ ACL に対して複数のアトリビュートを使用できます。 |
ステップ 2 |
ユーザ プロファイルまたはサービス プロファイルに Downstream Access Control List Cisco AV-Pair アトリビュートを追加します。 Cisco-AVpair="ip:outacl= ACL-number " または Cisco-AVpair="ip:outacl= ACL-name " または Cisco-AVpair="ip:outacl[ #number ]= ACL-statement " |
Cisco IOS ACL が、加入者へのトラフィックに適用されるように指定します。 • ACL-number および ACL-name 引数は、ルータ上に設定されている ACL を表します。 • ACL-statement 引数は、AAA サーバ上のアトリビュート設定に含まれている ACL 定義です。 • 1 つのプロファイル内で、Downstream Access Control List アトリビュートの複数のインスタンスが発生することがあります。ACL ステートメントごとに 1 つのアトリビュートを使用してください。 • 同じ ACL に対して複数のアトリビュートを使用できます。 |
サービス ポリシー マップでの加入者単位のファイアウォールの設定
ISG のサービス ポリシー マップに加入者単位のファイアウォールを設定するには、この作業を実行します。
手順の概要
1. enable
2. configure terminal
3. policy-map type service policy-map-name
4. ip access-group { access-list-number | access-list-name }{ in | out }
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
policy-map type service policy-map-name
Router(config)# policy-map type service service1 |
ISG サービスを定義するために使用される、サービス ポリシー マップを作成または変更します。 |
ステップ 4 |
ip access-group { access-list-number | access-list-name } { in | out }
Router(config-service-policymap)# ip access-group 100 in |
パケット アクセスを制御するにはアクセス コントロール リストを適用します。 • 1 つのサービス ポリシー マップで、このコマンドの複数のインスタンスを使用できます。 |
ISG の加入者単位のファイアウォールの確認
ISG の加入者単位のファイアウォールを確認するには、この作業を実行します。
手順の概要
1. enable
2. show subscriber session [ detailed ] [ identifier identifier | uid session-id | username name ]
3. show ip access-lists
手順の詳細
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 |
ステップ 2 |
show subscriber session [ detailed ] [ identifier identifier | uid session-id | username name ]
Router# show subscriber session detailed |
ISG 加入者のセッション情報を表示します。 |
ステップ 3 |
show ip access-list [ access-list-number | access-list-name ]
Router# show ip access-list |
現在のすべての IP アクセス リストの内容を表示します。 |
例
次に、 show subscriber session detailed コマンドの出力例を示します。加入者単位のファイアウォールの情報は、「Session inbound features」および「Session outbound features」フィールドに示されています。
Router# show subscriber session detailed
Current Subscriber Information: Total sessions 1
--------------------------------------------------
Session inbound features:
Session outbound features:
subscriber_feature#102341017649
show ip access-lists コマンドを使用すると、アクセス リストのステートメントを表示できます。次に、 show ip access-lists コマンドの出力例を示します。
Router# show ip access-lists
Extended IP access list 104 (Compiled)
10 permit ip host 10.0.1.6 any (500 matches)
Extended IP access list subscriber_feature#102341017649 (per-user)
10 deny icmp host 10.0.25.25 host 10.0.3.3
ネットワーク アクセスを制限するための ISG ポリシーの機能情報
表 29 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。この表には、Cisco IOS Release 12.2(28)SB 以降のリリースで導入または変更された機能だけを示します。
ここに記載されていないこのテクノロジーの機能情報については、「 Intelligent Services Gateway Features Roadmap 」を参照してください。
ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。
プラットフォームおよびソフトウェア イメージのサポート情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator により、どの Cisco IOS および Catalyst OS ソフトウェア イメージが特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートするか調べることができます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 29 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。
表 29 ネットワーク アクセスを制限するためのポリシーの機能情報
|
|
|
ISG:フロー制御:QoS 制御:動的レート制限 |
12.2(28)SB 12.2(33)SRC |
ISG は、レート制限のポリシーを動的に適用することにより、セッションまたはフローで許可される帯域幅を変更できます。 この機能に関する詳細については、次の各項を参照してください。 • 「ネットワーク アクセスの制限方法」 • 「ISG ポリシングの設定」 Cisco IOS Release 12.2(33)SRC では、サポートには Cisco 7600 ルータのサポートが追加されました。 |
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2006-2008 Cisco Systems, Inc.
All rights reserved.
Copyright © 2006-2011, シスコシステムズ合同会社.
All rights reserved.