Cisco NX-OS Security コンフィギュレーション ガイド Release 4.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月28日
章のタイトル: IP ACL の設定
IP ACL の設定
この章では、NX-OS デバイスの IP Access Control List(ACL; アクセス コントロール リスト)の設定方法を説明します。
(注) 特に指定がなければ、IP ACL は IPv4 ACL を意味しています。
ACL の概要
ACL は、トラフィックのフィルタリングに使用するルールを順序化したリストです。各ルールには、そのルールと一致するためにパケットが満たさなければならないひとまとまりの条件が指定されています。デバイスは、ある ACL がパケットに適用されると判断すると、そのすべてのルールの条件にパケットを照合し、テストします。最初に一致したルールによって、そのパケットを許可するか拒否するかが決まります。一致するものがなければ、デバイスは適用可能なデフォルトのルールを適用します。デバイスは、許可されたパケットの処理を続行し、拒否されたパケットはドロップします。詳細については、「暗黙ルール」を参照してください。
ACL を使用することにより、ネットワークおよび特定のホストを不必要なトラフィックまたは望ましくないトラフィックから保護することができます。たとえば、ACL を使用すれば、高セキュリティ ネットワークからインターネットへの HTTP トラフィックを禁止できます。また、ACL を使用し、特定サイトへの HTTP トラフィックだけを許可することもできます。その場合、IP ACL 内で目的のサイトを識別するために、そのサイトの IP アドレスを使用します。
•
「時間範囲」
• 「PB ACL」
• 「統計情報」
• 「IP ACL に対する Session Manager のサポート」
ACL のタイプとアプリケーション
セキュリティ トラフィック フィルタリングには次のタイプの ACL を使用できます。
• IPv4 ACLs ― IPv4 トラフィックのみに適用されます。
• Media Access Control(MAC; メディア アクセス制御)ACL ― IP 以外のトラフィックのみに適用されます。詳細については、「MAC ACL の概要」を参照してください。
• セキュリティ グループ ACL(SGACL) ― Cisco TrustSec によってタグ付けされたトラフィックに適用されます。詳細については、 第 9 章「Cisco TrustSec の設定」 を参照してください。
IPv4 ACL および MAC ACL には次の 3 つのアプリケーション タイプがあります。
• ポート ACL ― レイヤ 2 トラフィックをフィルタリングします。
• ルータ ACL ― レイヤ 3 トラフィックをフィルタリングします。
• VLAN ACLVLAN トラフィックをフィルタリングします。
表10-1 に、セキュリティ ACL のアプリケーションの概要を示します。
|
|
|
|
|---|---|---|
| • ポート ACL がトランク ポートに適用される場合、その ACL によってトランク ポートのすべての VLAN 上のトラフィックがフィルタリングされます。 |
||
•
(注) VLAN インターフェイスを設定するには、その前に VLAN インターフェイスをグローバルにイネーブル化する必要があります。詳細については、『Cisco NX-OS Interface Configuration Guide』を参照してください。 • |
(注) MAC ACL はレイヤ 3 インターフェイスではサポートされません。 |
|
| VLAN ACL についての詳細は、 第 12 章「VLAN ACL の設定」 を参照してください。 |
ACL の適用順序
デバイスは、パケットを処理する際に、そのパケットの転送パスを決定します。デバイスがトラフィックに適用する ACL はパスによって決まります。デバイスは、次の順序で ACL を適用します。
パケットが入力 VLAN 内でブリッジされる場合、ルータ ACL は適用されません。図10-1 に、デバイスが ACL を適用する順序を示します。
図10-2 は、各 ACL の適用場所を示しています。赤いパスは送信元とは異なるインターフェイス上の宛先に送信されるパケットを表しています。青いパスは同じ VLAN 内でブリッジされるパケットを表しています。
デバイスは適用可能な ACL だけを適用します。たとえば、入力ポートがレイヤ 2 ポートの場合、VLAN インターフェイスである VLAN 上のトラフィックには、ポート ACL とルータ ACL が両方とも適用される可能性があります。さらに、その VLAN に VACL が適用される場合、デバイスは その VACL も適用します。
SGACL の詳細については、 第 9 章「Cisco TrustSec の設定」 を参照してください。
ルールについて
アクセスリスト コンフィギュレーション モードで permit コマンドまたは deny コマンドを使用すると、ルールを作成できます。デバイスは、許可ルール内の基準と一致するトラフィックを許可し、拒否ルール内の基準と一致するトラフィックをブロックします。トラフィックと照合するルールの基準は、さまざまなオプションを使用して設定します。
(注) ここでは、ルールを設定する際に使用できるオプションをいくつか紹介します。すべてのオプションについての説明は、『Cisco NX-OS Security Command Reference』の permit コマンドおよび deny コマンドの該当項目を参照してください。
• 「送信元と宛先」
• 「プロトコル」
• 「暗黙ルール」
• 「ロギング」
送信元と宛先
各ルールでは、そのルールと一致するトラフィックの送信元および宛先を指定します。送信元と宛先は、特定のホスト、ネットワークまたはホスト グループ、あるいは任意のホストとして指定できます。送信元と宛先の指定方法は、IPv4 ACL と MAC ACL のどちらを設定するのかによって異なります。送信元と宛先の指定方法については、『 Cisco NX-OS Security Command Reference 』の該当する permit コマンドおよび deny コマンドを参照してください。
プロトコル
IPv4 ACL および MAC ACL では、トラフィックをプロトコルで識別できます。便宜上、プロトコルを名前で指定することもできます。たとえば、IPv4 ACL では、ICMP を名前で指定できます。
プロトコルはどれも番号で指定できます。MAC ACL では、プロトコルをそのプロトコルの Ethertype 番号(16 進数)で指定できます。たとえば、MAC ACL ルールの IP トラフィックの指定に 0x0800 を使用できます。
IPv4 ACL では、インターネット プロトコル番号を表す整数でプロトコルを指定できます。たとえば、Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)のトラフィックを 115 として指定できます。
各タイプの ACL に名前で指定できるプロトコルのリストは、『 Cisco NX-OS Security Command Reference 』の該当する permit コマンドおよび deny コマンドを参照してください。
暗黙ルール
IP ACL および MAC ACL には暗黙ルールがあります。暗黙ルールは、実行コンフィギュレーションには設定されていませんが、ACL 内の他のルールと一致しない場合にデバイスがトラフィックに適用するルールです。
すべての IPv4 ACL には、次の暗黙ルールがあります。
この暗黙ルールによって、デバイスは不一致 IP トラフィックを確実に拒否します。
この暗黙ルールによって、デバイスは、トラフィックのレイヤ 2 ヘッダーに指定されているプロトコルに関係なく、不一致トラフィックを確実に拒否します。
追加のフィルタリング オプション
追加オプションを使用してトラフィックを識別することもできます。これらのオプションは、ACL のタイプによって異なります。以下のリストには、ほとんどの追加フィルタリング オプションが含まれていますが、すべてを網羅しているわけではありません。
• IPv4 ACL は、次の追加フィルタリング オプションをサポートしています。
–Differentiated Services Code Point(DSCP; DiffServ コード ポイント)値
–ACK、FIN、PSH、RST、SYN、または URG のビット セットを持つ TCP パケット
• MAC ACL は、次の追加フィルタリング オプションをサポートしています。
–Class of Service(CoS; サービス クラス)
ルールに適用できるすべてのフィルタリング オプションについては、『 Cisco NX-OS Security Command Reference 』の該当する permit コマンドおよび deny コマンドを参照してください。
シーケンス番号
デバイスはルールのシーケンス番号をサポートしています。入力するすべてのルールにシーケンス番号が割り当てられます(ユーザによる割り当てまたはデバイスによる自動割り当て)。シーケンス番号を使用することにより、次の ACL 作業を簡単に実行できます。
• 既存のルールの間への新しいルールの追加 ― シーケンス番号を指定することにより、新しいルールを入れる ACL 内の場所を指定できます。たとえば、100 番と 110 番のルールの間に新しいルールを 1 つ挿入する必要がある場合は、その新しいルールにシーケンス番号 105を割り当てることができます。
• ルールの削除 ― シーケンス番号を使用しないと、ルールを削除するために次のようにルール全体を入力しなければなりません。
同じルールにシーケンス番号 101 が割り当ててあれば、次のコマンドを入力するだけでこのルールを削除できます。
• ルールの移動 ― シーケンス番号を使用すると、ACL 内で、あるルールを別の場所に移す必要がある場合、位置を正確に表すシーケンス番号を使用して、そのルールの第 2 インスタンスを追加してから、そのルールの元のインスタンスを削除すれば済みます。このようにすれば、トラフィックを中断せずにルールを移動できます。
シーケンス番号を使用せずにルールを入力すると、デバイスはそのルールを ACL の最後に追加し、そのルールの直前のルールのシーケンス番号よりも 10 大きい番号を割り当てます。たとえば、ACL 内の最後のルールのシーケンス番号が 225 で、シーケンス番号を指定せずにルールを追加した場合、デバイスはその新しいルールにシーケンス番号 235 を割り当てます。
さらに、NX-OS では ACL 内のルールにシーケンス番号を再割り当てすることも可能です。シーケンス番号の再割り当ては、ACL 内のルールに連続番号(100 と 101 など)が割り当てられていて、それらのルールの間に 1 つまたは複数のルールを挿入しなければならない場合に便利です。
論理演算子と論理演算ユニット
TCP トラフィックおよび UDP トラフィックの IP ACL ルールでは、ポート番号に基づいたトラフィック フィルタリングに論理演算子を使用できます。このデバイスは、Logical Operator Unit(LOU; 論理演算ユニット)というレジスタに、演算子とオペランドの組み合わせを格納します。Cisco Nexus 7000 シリーズ デバイスは 104 の LOU をサポートしています。
デバイスは、次の場合に演算子とオペランドの組み合わせを LOU に格納します。
• 演算子とオペランドのどちらかが、他のルールで使用されている演算子・オペランドの組み合わせとは異なっている場合、その組み合わせが LOU に格納されます。
たとえば、演算子・オペランドの組み合わせ、「gt 10」と「gt 11」は、LOU の半分に別々に格納されます。組み合わせ「gt 10」と「lt 10」も、別々に格納されます。
• 演算子・オペランドの組み合わせがルール内の送信元ポートに適用されるか、宛先ポートに適用されるかによって 使用される LOU は変わってきます。同一の組み合わせでも、一方が送信元ポートに適用され、もう一方が宛先ポートに適用される場合は、別々に格納されます。
たとえば、あるルールで演算子・オペランドの組み合わせ「gt 10」が送信元ポートに適用され、別のルールで「gt 10」が宛先ポートに適用される場合、それぞれが LOU の半分に格納されるので、LOU 全体が 1 つ使用されることになります。ほかに「gt 10」を使用するルールがあっても、これ以上 LOU は使用されません。
ロギング
ルールに一致するパケットに関する情報ログ メッセージの作成をイネーブルにできます。ログ メッセージには、パケットについての次の情報が含まれます。
時間範囲
時間範囲を使用して、ACL ルールが有効になる時期を制御できます。たとえば、インターフェイスに着信するトラフィックに特定の ACL を適用するとデバイスが判断し、その ACL のあるルールの時間範囲が有効になっていない場合、デバイスは、トラフィックをそのルールと照合しません。デバイスは、そのデバイスのクロックに基づいて時間範囲を評価します。
時間範囲を使用する ACL を適用すると、デバイスはその ACL で参照される時間範囲の開始時または終了時に影響する I/O モジュールをアップデートします。時間範囲によって開始されるアップデートはベストエフォート型のプライオリティで実行されます。時間範囲によってアップデートが生じたときにデバイスの処理負荷が非常に高い場合、デバイスはアップデートを最大数秒間遅らせることがあります。
IPv4 ACL と MAC ACL は時間範囲をサポートしています。デバイスがトラフィックに ACL を適用する場合、有効なルールは次のとおりです。
• デバイスがその ACL をトラフィックに適用した時点(秒)が時間範囲に含まれているルール
名前が付けられた時間範囲は再利用できます。多くの ACL ルールを設定する場合は、時間範囲を名前で 1 度設定すればすみます。時間範囲の名前は最大 64 の英文字で指定します。
時間範囲には、1 つまたは複数のルールで構成されます。これらのルールは次の 2 種類に分類できます。
• 絶対ルール ― 特定の開始日時、終了日時、その両方を持つルール、またはそのどちらも持たないルール。絶対時間範囲のルールがアクティブかどうかは、開始日時または終了日時の有無によって、次のように決まります。
–開始日時と終了日時が両方指定されている ― この時間範囲ルールは、現在の時刻が開始日時よりあとで終了日時より前の場合にアクティブになります。
–開始日時が指定され、終了日時は指定されていない ― この時間範囲ルールは、現在の時刻が開始日時よりもあとである場合にアクティブになります。
–開始日時は指定されず、終了日時が指定されている ― この時間範囲ルールは、現在の時刻が終了日時よりも前である場合にアクティブになります。
–開始日時も終了日時も指定されていない ― この時間範囲ルールは常にアクティブです。
たとえば、新しいサブネットへのアクセスを許可するようにネットワークを設定する場合、そのサブネットをオンラインにする予定日の真夜中からアクセスを許可するような時間範囲を指定し、この時間範囲を そのサブネットに適用する ACL ルールに使用します。デバイスはこのルールを含む ACL を適用する場合、開始日時が過ぎると、この時間範囲を使用するルールの適用を自動的に開始します。
• 定期ルール ― 毎週 1 回以上アクティブになるルール。たとえば、定期時間範囲を使用すると、平日の営業時間中だけ、研究室のサブネットにアクセスできるようにすることができます。デバイスは、そのルールを含む ACL が適用されていて、時間範囲がアクティブな場合にだけ、この時間範囲を使用する ACL ルールを自動的に適用します。
(注) デバイスは、時間範囲内のルールの順序に関係なく、時間範囲がアクティブかどうかを判断します。NX-OS は、時間範囲を編集できるように時間範囲内にシーケンス番号を入れます。
時間範囲には備考を含めることもできます。備考を使用すると、時間範囲にコメントを挿入できます。備考は、最大 100 の英文字で指定します。
デバイスは次の方法で時間範囲がアクティブかどうかを判断します。
• 時間範囲に絶対ルールが 1 つまたは複数含まれている ― 現在の時刻が 1 つまたは複数の絶対ルールの範囲内であれば、その時間範囲はアクティブです。
• 時間範囲に定期ルールが 1 つまたは複数含まれている ― 現在の時刻が 1 つまたは複数の定期ルールの範囲内であれば、その時間範囲はアクティブです。
• 時間範囲に絶対ルールと定期ルールが両方含まれている ― 現在の時刻が 1 つまたは複数の絶対ルールと 1 つまたは複数の定期ルールの範囲内にある場合に、その時間範囲はアクティブです。
時間範囲に絶対ルールと定期ルールが両方含まれている場合、定期ルールがアクティブになるのは、最低 1 つの絶対ルールがアクティブな場合だけです。
PB ACL
デバイスは Policy-Based ACL(PBACL; ポリシーベース ACL)をサポートしています。PBACL を使用すると、オブジェクト グループ全体にアクセス コントロール ポリシーを適用できます。オブジェクト グループは、IP アドレスのグループまたは TCP ポートもしくは UDP ポートのグループです。ルール作成時に、IP アドレスやポートを指定するのではなく、オブジェクト グループを指定できます。
IPv4 ACL の設定にオブジェクト グループを使用すると、ルールの送信元または宛先に対してアドレスまたはポートの追加や削除を行う場合に、ACL を簡単にアップデートできます。たとえば、3 つのルールが同じ IP アドレス グループ オブジェクトを参照している場合は、3 つのすべてのルールを変更しなくても、オブジェクトに IP アドレスを追加すれば済みます。
PBACL を使用しても、インターフェイスに ACL を適用する際にその ACL が必要とするリソースは減りません。PBACL 適用時に、デバイスはオブジェクト グループを参照する各ルールを展開し、グループ内の各オブジェクトとルールが 1 対 1 になるようにします。あるルールに、送信元と宛先が両方ともオブジェクト グループとして指定されている場合、この PBACL を適用する際に作成されるルールの数は、送信元グループ内のオブジェクト数に宛先グループ内のオブジェクト数をかけた値になります。
ポート、ルータ、VLAN の ACL には、次のオブジェクト グループ タイプが適用されます。
• IPv4 アドレス オブジェクト グループ ― IPv4 ACL ルールで送信元または宛先のアドレスの指定に使用できます。 permit コマンドまたは deny コマンドを使用してルールを設定する際に、 addrgroup キーワードを使用すると、送信元または宛先のオブジェクト グループを指定できます。
• プロトコル ポート オブジェクト グループ ― IPv4 TCP および UDP ルールで送信元または宛先のポートの指定に使用できます。 permit コマンドまたは deny コマンドを使用してルールを設定する際に、 portgroup キーワードを使用すると、送信元または宛先のオブジェクト グループを指定できます。
統計情報
このデバイスは IPv4 ACL および MAC ACL の各ルールのグローバル統計を維持できます。1 つの ACL が複数のインターフェイスに適用される場合、ルール統計には、その ACL が適用されるすべてのインターフェイスと一致する(ヒットする)パケットの合計数が維持されます。
(注) インターフェイスレベルの ACL 統計はサポートされていません。
設定する ACL ごとに、その ACL の統計情報をデバイスが維持するかどうかを指定できます。これにより、ACL によるトラフィック フィルタリングが必要かどうかに応じて ACL 統計のオン、オフを指定できます。また、ACL 設定のトラブルシューティングにも役立ちます。
IP ACL 統計の表示については、「IP ACL の統計情報の表示とクリア」 を参照してください。MAC ACL 統計の表示については、「MAC ACL の統計情報の表示とクリア」 を参照してください。
IP ACL に対する Session Manager のサポート
Session Manager は IP ACL および MAC ACL の設定をサポートしています。この機能を使用すると、ACL の設定を調べて、設定の実行をコミットする前にその設定に必要とされるリソースが利用可能であるかどうかを確認できます。Session Manager についての詳細は、『 Cisco NX-OS System Management Guide 』を参照してください。
バーチャライゼーション サポート
Virtual Device Context(VDC; バーチャル デバイス コンテキスト)では、IP ACL および MAC ACL に次の事項が適用されます。
• ACL は各 VDC に固有です。ある VDC に作成した ACL を別の VDC に使用することはできません。
IP ACL のライセンス要件
|
|
|
|---|---|
IP ACLにはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。 |
IP ACL の前提条件
注意事項および制約事項
IP ACL の設定に関する注意事項と制約事項は次のとおりです。
• ACL の設定には Session Manager を使用することを推奨します。この機能を使用すると、ACL の設定を調べて、設定の実行をコミットする前にその設定に必要とされるリソースが利用可能であるかどうかを確認できます。Session Manager についての詳細は、『 Cisco NX-OS System Management Guide 』を参照してください。
• ほとんどの場合、IP パケットの ACL 処理は、I/O モジュール上で実行されます。場合によっては、スーパーバイザ モジュールで処理が実行されることもあります。この場合、I/O モジュールでの処理よりも速度が遅くなります。パケットがスーパーバイザ モジュールで処理されるのは、次の場合です。
–管理インターフェイス トラフィックが常にスーパーバイザ モジュールで処理される場合
–レイヤ 3 インターフェイスに多数のルールで構成される出力 ACL が適用されている場合、そのインターフェイスを出る IP パケットは、スーパーバイザ モジュールに送信されることがあります。
• 時間範囲を使用する ACL を適用すると、デバイスはその ACL で参照される時間範囲の開始時または終了時に、影響する I/O モジュールをアップデートします。時間範囲によって開始されるアップデートはベストエフォート型のプライオリティで実行されます。時間範囲によってアップデートが生じたときにデバイスの処理負荷が非常に高い場合、デバイスはアップデートを最大数秒間遅らせることがあります。
• IP ACL を VLAN インターフェイスに適用するためには、VLAN インターフェイスをグローバルにイネーブル化する必要があります。VLAN インターフェイスの詳細については、『 Cisco NX-OS Interfaces Configuration Guide 』を参照してください。
IP ACL の設定
IP ACL の作成
作業を開始する前に
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。
手順の概要
3. [ sequence-number ] { permit | deny } protocol source destination
詳細な手順
IP ACL の変更
既存の IPv4 ACL のルールの追加および削除を実行できます。既存のルールを変更することはできません。ルールを変更したい場合は、そのルールを削除し、目的の変更を加えたルールを再作成します。
既存のルールの間に、現在のシーケンス番号では許容できない数のルールを追加する必要がある場合は、 resequence コマンドを使用することにより、シーケンス番号を再割り当てできます。詳細については、「IP ACL のシーケンス番号の変更」を参照してください。
作業を開始する前に
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。
手順の概要
3. [ sequence-number ] { permit | deny } protocol source destination
4. no { sequence-number | { permit | deny } protocol source destination }
詳細な手順
IP ACL の削除
作業を開始する前に
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。
その ACL がインターフェイスに適用されているかどうかを確認します。削除できるのは、現在 適用されている ACL です。ACL を削除しても、その ACL が適用されているインターフェイスの設定には影響しません。デバイスは削除された ACL を空であるとみなします。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
|
|
||
IP ACL のシーケンス番号の変更
作業を開始する前に
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。
手順の概要
2. resequence ip access-list name starting-sequence-number increment
詳細な手順
ルータ ACL としての IP ACL の適用
IPv4 ACL は、次のタイプのインターフェイスに適用できます。
• 物理レイヤ 3 インターフェイスおよびサブインターフェイス
作業を開始する前に
適用する ACL が存在し、必要な方法でトラフィックをフィルタリングするように設定されていることを確認します。詳細については、「IP ACL の作成」または「IP ACL の変更」を参照してください。
手順の概要
2. interface ethernet slot / port [ . number ]
interface port-channel channel-number [ . number ]
interface tunnel tunnel-number
詳細な手順
ポート ACL としての IP ACL の適用
IPv4 ACL は、レイヤ 2 インターフェイス(物理ポートまたはポート チャネル)に適用できます。これらのインターフェイス タイプに適用された ACL はポート ACL とみなされます。
作業を開始する前に
適用する ACL が存在し、目的に応じたトラフィック フィルタリングが設定されていることを確認します。詳細については、「IP ACL の作成」または「IP ACL の変更」を参照してください。
手順の概要
2. interface ethernet slot / port
interface port-channel channel-number
詳細な手順
VACL としての IP ACL の適用
IP ACL は VACL として適用できます。IPv4 ACL を使用した VACL の作成方法については、「VACL の作成または変更」を参照してください。
IP ACL の設定の確認
IP ACL の設定情報を表示するには、次のいずれかの作業を行います。
|
|
|
|---|---|
これらのコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
IP ACL の統計情報の表示とクリア
各ルールと一致したパケット数を含めて、IP ACL についての統計情報を表示するには、 show ip access-lists コマンドを使用します。このコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
IPv4 ACL の統計情報の表示またはクリアを行うには、次のいずれかの作業を行います。
|
|
|
|---|---|
IPv4 ACL の設定を表示します。IPv4 ACL に statistics コマンドが含まれている場合は、 show ip access-lists コマンドの出力に、各ルールと一致したパケットの数が含まれます。 |
|
これらのコマンドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
IP ACL の設定例
acl-01 という名前の IPv4 ACL を作成し、これをイーサネット インターフェイス2/1(レイヤ 2 インターフェイス)に適用する例を示します。
オブジェクト グループの設定
IPv4 ACL のACL ルールに送信元と宛先のアドレスおよびプロトコル ポートを指定する際に、オブジェクト グループを使用できます。
• 「オブジェクト グループに対する Session Manager のサポート」
• 「IPv4 アドレス オブジェクト グループの作成および変更」
• 「プロトコル ポート オブジェクト グループの作成および変更」
オブジェクト グループに対する Session Manager のサポート
Session Manager はオブジェクト グループの設定をサポートしています。この機能を使用すると、設定セッションを作成し、オブジェクト グループの設定変更を実行コンフィギュレーションにコミットする前に確認できます。Session Manager についての詳細は、『 Cisco NX-OS System Management Guide 』を参照してください。
IPv4 アドレス オブジェクト グループの作成および変更
手順の概要
2. object-group ip address name
3. [ sequence-number ] { host IPv4-address | IPv4-address network-wildcard | IPv4-address/prefix-len }
no { sequence-number | host IPv4-address | IPv4-address network-wildcard | IPv4-address/prefix-len }
詳細な手順
プロトコル ポート オブジェクト グループの作成および変更
手順の概要
3. [ sequence-number ] operator port-number [ port-number ]
no { sequence-number | operator port-number [ port-number ]}
詳細な手順
オブジェクト グループの削除
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
no object-group { ip address | ip port } name switch(config)# no object-group ip address ipv4-addr-group-A7 |
||
|
|
||
オブジェクト グループの設定の確認
オブジェクト グループの設定情報を表示するには、次のコマンドを使用します。
|
|
|
|---|---|
これらのコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
時間範囲の設定
• 「時間範囲に対する Session Manager のサポート」
時間範囲に対する Session Manager のサポート
Session Manager は時間範囲の設定をサポートしています。この機能を使用すると、設定セッションを作成し、時間範囲の設定変更を実行コンフィギュレーションにコミットする前に確認できます。Session Manager についての詳細は、『 Cisco NX-OS System Management Guide 』を参照してください。
時間範囲の作成
作業を開始する前に
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。
手順の概要
3. [ sequence-number ] periodic weekday time to [ weekday ] time
[ sequence-number ] periodic [ list-of-weekdays ] time to time
[ sequence-number ] absolute start time date [ end time date ]
[ sequence-number ] absolute [ start time date ] end time date
詳細な手順
時間範囲の変更
既存の時間範囲のルールの追加および削除を実行できます。既存のルールを変更することはできません。ルールを変更したい場合は、そのルールを削除し、目的の変更を加えたルールを再作成します。
既存のルールの間に、現在のシーケンス番号では許容できない数のルールを追加する必要がある場合は、 resequence コマンドを使用することにより、シーケンス番号を再割り当てできます。詳細については、「時間範囲のシーケンス番号の変更」を参照してください。
作業を開始する前に
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。
手順の概要
3. [ sequence-number ] periodic weekday time to [ weekday ] time
[ sequence-number ] periodic [ list-of-weekdays ] time to time
[ sequence-number ] absolute start time date [ end time date ]
[ sequence-number ] absolute [ start time date ] end time date
詳細な手順
時間範囲の削除
作業を開始する前に
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。
その時間範囲がACL ルールのどれかに使用されているかどうかを確認します。削除できるのは、ACL ルールに使用されている時間範囲です。ACL ルールに使用されている時間範囲を削除しても、その ACL が適用されているインターフェイスの設定には影響しません。デバイスは削除された時間範囲を使用する ACL ルールを空であるとみなします。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
|
|
||
時間範囲のシーケンス番号の変更
作業を開始する前に
正しい VDC 内にいることを確認します(あるいは、 switch to vdc コマンドを使用します)。異なる VDC では ACL 名を再使用できるので、作業をしている VDC を確認することを推奨します。
手順の概要
2. resequence time-range name starting-sequence-number increment
詳細な手順
時間範囲の設定の確認
|
|
|
|---|---|
これらのコマンドの出力フィールドに関する詳細は、『 Cisco NX-OS Security Command Reference 』を参照してください。
デフォルト設定
表10-2 に IP ACL パラメータのデフォルト設定値を示します。
|
|
|
|---|---|
すべての ACL に暗黙ルールが適用されます(暗黙ルールを参照)。 |
|
その他の参考資料
IP ACL の実装に関する詳細情報については、次を参照してください。
• 「関連資料」
• 「規格」
関連資料
|
|
|
|---|---|
規格
|
|
|
|---|---|
この機能のサポート対象の規格には、新規規格も変更された規格もありません。また、この機能は既存の規格に対するサポートに影響を及ぼしません。 |
フィードバック