Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: IP ACL の設定
IP ACL の設定
ACL について
ACL は、トラフィックをフィルタリングするための順番に並べられた一連のルールです。デバイスは、パケットを適用する ACL を決定する際に、パケットをルールに対してテストしていきます。最初に一致したルールで、そのパケットが許可されるか拒否されるかが決定されます。一致するルールがない場合は、そのデバイスでのデフォルト ルールが適用されます。デバイスは、許可されたパケットは処理し、拒否されたパケットは廃棄します。詳細については、「暗黙のルール」を参照してください。
ACL を使用すると、ネットワークおよび特定のホストを、不要なトラフィックや望ましくないトラフィックから保護できます。たとえば、ACL を使用して、厳重にセキュリティ保護されたネットワークからインターネットに HTTP トラフィックが流入するのを禁止できます。また、特定のサイトへの HTTP トラフィックだけを許可することもできます。その場合は、サイトの IP アドレスが、IP ACL に指定されているかどうかによって判定します。
•
「統計」
ACL のタイプと適用
ポート ACL をトランク ポートに適用すると、その ACL は、当該トランク ポート上のすべての VLAN 上のトラフィックをフィルタリングします。
レイヤ 2 トラフィックのフィルタリングでは、次のポート ACL のタイプがサポートされます。
ACL の適用順序
ルールについて
ACL によるネットワーク トラフィックのフィルタリング方法を設定する際に、何を作成、変更、削除するかを決めるのがルールです。ルールは実行コンフィギュレーション内に表示されます。ACL をインターフェイスに適用するか、またはインターフェイスにすでに適用されている ACL 内のルールを変更すると、スーパーバイザ モジュールは実行コンフィギュレーション内のルールから ACL のエントリを作成し、それらの ACL エントリを適用可能な I/O モジュールに送信します。
アクセスリスト コンフィギュレーション モードで permit または deny コマンドを使用すると、ACL にルールを作成できます。これにより、デバイスは許可ルール内の基準と一致するトラフィックを許可し、拒否ルール内の基準と一致するトラフィックをブロックします。ルールに一致するためにトラフィックが満たさなければならない基準を設定するためのオプションが多数用意されています。
ここでは、ルールを設定する際に使用できるオプションをいくつか紹介します。すべてのオプションの説明については、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』の該当する permit および deny コマンドを参照してください。
• 「送信元と宛先」
• 「プロトコル」
• 「暗黙のルール」
• 「統計」
• 「統計」
送信元と宛先
各ルールには、ルールに一致するトラフィックの送信元と宛先を指定します。指定する送信元および宛先には、特定のホスト、ホストのネットワークまたはグループ、あるいは任意のホストを使用できます。送信元と宛先の指定方法は、IP ACL と MAC ACL のどちらを設定するかによって異なります。送信元と宛先の指定方法については、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』の該当する permit および deny コマンドを参照してください。
プロトコル
IP ACL および MAC ACL では、トラフィックをプロトコルで識別できます。一部のプロトコルは名前で指定できます。たとえば、IP ACL では、ICMP を名前で指定できます。
プロトコルはすべて番号で指定できます。MAC ACL では、プロトコルをそのプロトコルの Ethertype 番号(16 進数)で指定できます。たとえば、MAC ACL ルールの IP トラフィックの指定に 0x0800 を使用できます。
IP ACL では、インターネット プロトコル番号を表す整数でプロトコルを指定できます。たとえば、Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)を指定するには、115 を使用します。
各タイプの ACL に名前で指定できるプロトコルのリストは、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』の該当する permit および deny コマンドを参照してください。
暗黙のルール
IP ACL および MAC ACL には暗黙ルールがあります。暗黙ルールは、実行コンフィギュレーションには設定されていませんが、ACL 内の他のルールと一致しない場合にデバイスがトラフィックに適用するルールです。ACL のルール単位の統計情報を維持するようにデバイスを設定した場合、暗黙ルールの統計情報はデバイスに維持されません。
すべての IP ACL には、不一致の IP トラフィックを拒否する次の暗黙ルールがあります。
すべての MAC ACL には、次の暗黙のルールがあります。
この暗黙ルールによって、トラフィックのレイヤ 2 ヘッダーに指定されているプロトコルに関係なく、不一致トラフィックが確実に拒否されます。
その他のフィルタリング オプション
追加のオプションを使用してトラフィックを識別できます。これらのオプションは、ACL のタイプによって異なります。次のリストには、ほとんどの追加フィルタリング オプションが含まれていますが、すべてを網羅しているわけではありません。
• IP ACL は、次の追加フィルタリング オプションをサポートしています。
– ACK、FIN、PSH、RST、SYN、または URG ビットがセットされた TCP パケット
• MAC ACL は、次の追加フィルタリング オプションをサポートしています。
ルールに適用できるすべてのフィルタリング オプションについては、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』の該当する permit および deny コマンドを参照してください。
シーケンス番号
デバイスはルールのシーケンス番号をサポートしています。入力するすべてのルールにシーケンス番号が割り当てられます(ユーザによる割り当てまたはデバイスによる自動割り当て)。シーケンス番号によって、次の ACL 設定作業が容易になります。
• 既存のルールの間に新規のルールを追加する:シーケンス番号を指定することによって、ACL 内での新規ルールの挿入場所を指定します。たとえば、ルール番号 100 と 110 の間に新しいルールを挿入する必要がある場合は、シーケンス番号 105 を新しいルールに割り当てます。
• ルールを削除する:シーケンス番号を使用しない場合は、ルールを削除するのに、次のようにルール全体を入力する必要があります。
このルールに 101 番のシーケンス番号が付いていれば、次コマンドだけでルールを削除できます。
• ルールを移動する:シーケンス番号を使用すれば、同じ ACL 内の異なる場所にルールを移動する必要がある場合に、そのルールのコピーをシーケンス番号で正しい位置に挿入してから、元のルールを削除できます。この方法により、トラフィックを中断せずにルールを移動できます。
シーケンス番号を使用せずにルールを入力すると、デバイスはそのルールを ACL の最後に追加し、そのルールの直前のルールのシーケンス番号よりも 10 大きい番号を割り当てます。たとえば、ACL 内の最後のルールのシーケンス番号が 225 で、シーケンス番号を指定せずにルールを追加した場合、デバイスはその新しいルールにシーケンス番号 235 を割り当てます。
さらに、ACL 内のルールにシーケンス番号を再割り当てすることも可能です。シーケンス番号の再割り当ては、ACL 内に、100、101 のように連続するシーケンス番号のルールがある場合、それらのルールの間に 1 つ以上のルールを挿入する必要があるときに便利です。
統計
デバイスは IPv4 ACL および MAC ACL に設定する各ルールのグローバル統計を維持できます。1 つの ACL が複数のインターフェイスに適用される場合、ルール統計には、その ACL が適用されるすべてのインターフェイスと一致する(ヒットする)パケットの合計数が維持されます。
(注) インターフェイスレベルの ACL 統計はサポートされていません。
設定する ACL ごとに、その ACL の統計情報をデバイスが維持するかどうかを指定できます。これにより、ACL によるトラフィック フィルタリングが必要かどうかに応じて ACL 統計のオン、オフを指定できます。また、ACL 設定のトラブルシューティングにも役立ちます。
デバイスには ACL の暗黙ルールの統計情報は維持されません。たとえば、すべての IPv4 ACL の末尾にある暗黙の deny ip any any ルールと一致するパケットのカウントはデバイスに維持されません。暗黙ルールの統計情報を維持する場合は、暗黙ルールと同じルールを指定した ACL を明示的に設定する必要があります。詳細については、「暗黙のルール」を参照してください。
IP ACL の前提条件
注意事項および制約事項
IP ACL の設定に関する注意事項と制約事項は次のとおりです。
• ほとんどの場合、IP パケットの ACL 処理は、I/O モジュール上で実行されます。管理インターフェイス トラフィックは、常にスーパーバイザ モジュールで処理されます。この場合、速度は遅くなります。
デフォルト設定
表 9-1 に、IP ACL パラメータのデフォルト設定値を示します。
|
|
|
|---|---|
すべての ACL に暗黙ルールが適用されます(「暗黙のルール」を参照)。 |
IP ACL の設定
IP ACL の作成
はじめる前に
手順の概要
2. [no] ip access-list {name | match-local-traffic}
3. [ sequence-number ] { permit | deny } protocol source destination
手順の詳細
IP ACL の変更
既存の IPv4 ACL に対してルールの追加または削除を行うことができます。既存のルールは変更できません。ルールを変更するには、そのルールを削除してから、変更を加えたルールを再作成します。
既存のルールの間に新しいルールを挿入する必要がある場合で、現在のシーケンス番号の空き状況ではすべてを挿入できないときは、 resequence コマンドを使用してシーケンス番号を再割り当てします。詳細については、「IP ACL 内のシーケンス番号の変更」を参照してください。
はじめる前に
手順の概要
3. [ sequence-number ] { permit | deny } protocol source destination
4. no { sequence-number | { permit | deny } protocol source destination }
手順の詳細
IP ACL の削除
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• その ACL がインターフェイスに適用されているかどうかを確認します。
• ACL を削除しても、適用されているインターフェイスの設定には影響しません。デバイスは削除された ACL を空であると見なします。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
|
|
(任意)IP ACL の設定を表示します。ACL がインターフェイスに引き続き適用されている場合は、インターフェイスが表示されます。 |
|
IP ACL 内のシーケンス番号の変更
はじめる前に
手順の概要
2. resequence ip access-list name starting-sequence-number increment
手順の詳細
IP ACL のポート ACL としての適用
IPv4 または ACL をレイヤ 2 インターフェイスの物理ポートに適用してポート ACL を設定するには、次の手順を実行します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 1 つのインターフェイスに 1 つのポート ACL を適用できます。
• 適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。詳細については、「IP ACL の作成」または「IP ACL の変更」を参照してください。
• IP ACL はポート プロファイルに設定することもできます。詳細については、「IP ACL のポート プロファイルへの追加」を参照してください。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
ip port access-group access-list n1000v(config-if)# ip port access-group acl-l2-marketing-group in |
インバウンドまたはアウトバウンド IPv4 ACL をインターフェイスに適用します。1 つのインターフェイスに 1 つのポート ACL を適用できます。 |
|
IP ACL のポート プロファイルへの追加
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 「IP ACL の作成」に従ってこのポート プロファイルに追加する IP ACL をすでに作成しており、その IP ACL 名を知っていること。
• 既存のポート プロファイルを使用する場合は、すでにそのポート プロファイルを作成しており、名前を知っていること。
• 新しいポート プロファイルを作成する場合は、インターフェイス タイプ(イーサネットまたは vEthernet)およびそのプロファイルに付与する名前がわかっていること。
• ポート プロファイルの詳細については、『 Cisco Nexus 1000V Port Profile Configuration Guide, Release 4.2(1)SV1(5.1) 』を参照してください。
手順の概要
2. port-profile [ type { ethernet | vethernet }] profile-name
3. ip port access-group name { in | out }
4. show port-profile [ brief | expand-interface | usage ] [ name profile-name]
手順の詳細
管理インターフェイスへの IP ACL の適用
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。詳細については、「IP ACL の作成」または「IP ACL の変更」を参照してください。
手順の概要
3. [no] ip access-group access-list [ in | out]
手順の詳細
|
|
|
|
|---|---|---|
[no] ip access-group access-list |
||
show ip access-lists access-list |
||
IP ACL の設定の確認
IP ACL の設定情報を表示するには、次のコマンドを使用します。
|
|
|
|---|---|
IP ACL のモニタリング
IP ACL のモニタリングには、次のコマンドを使用します。
|
|
|
|---|---|
IPv4 ACL の設定を表示します。IPv4 ACL に statistics per-entry コマンドが含まれている場合は、 show ip access-lists コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
|
IP ACL の設定例
次に、acl-01 という名前の IPv4 ACL を作成し、これをポート ACL として vEthernet インターフェイス 40 に適用する例を示します。
次に、ローカルに生成されたトラフィックのアクセス リスト マッチングをイネーブルにする例を示します。
その他の関連資料
IP ACL の実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「標準」
関連資料
標準
|
|
|
|---|---|
IP ACL 機能の履歴
|
|
|
|
|---|---|---|
フィードバック