- はじめに
- 概要
- CLI(コマンドライン インターフェイス)の 使用
- Cisco IE 3000 スイッチ アラームの設定
- スイッチの IP アドレスとデフォルト ゲート ウェイの割り当て
- Cisco IOS Configuration Engine の設定
- スイッチ のクラスタ化
- スイッチの管理
- PTP の設定
- PROFINET の設定
- SDM テンプレートの設定
- スイッチベース認証の設定
- IEEE 802.1X ポートベースの認証の設定
- Web ベースの認証の設定
- インターフェイスの特性の設定
- SmartPort マクロの設定
- VLAN の設定
- VTP の設定
- 音声 VLAN の設定
- プライベート VLAN の設定
- IEEE 802.1Q およびレイヤ 2 プロトコル トンネリングの設定
- STP の設定
- MSTP の設定
- オプションのスパニング ツリー機能の設定
- Resilient Ethernet Protocol の設定
- Flex Link および MAC アドレス テーブル 移行更新機能の設定
- DHCP 機能と IP ソース ガード機能の設定
- ダイナミック ARP 検査の設定
- IGMP スヌーピングおよび MVR の設定
- ポートベースのトラフィック制御の設定
- SPAN および RSPAN の設定
- LLDP、LLDP-MED、および有線のロケー ション サービスの設定
- CDP の設定
- UDLD の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- Embedded Event Manager の設定
- ACL によるネットワーク セキュリティの設定
- QoS の設定
- EtherChannel およびリンクステート トラッキングの設定
- IP ユニキャスト ルーティングの設定
- IPv6 ユニキャスト ルーティング の設定
- IPv6 MLD スヌーピングの設定
- IPv6 ACL の設定
- HSRP の設定
- Cisco IOS IP SLA 動作の設定
- 拡張オブジェクト追跡の設定
- WCCP によるキャッシュ サービスの設定
- IP マルチキャスト ルーティングの設定
- MSDP の設定
- フォールバック ブリッジングの設定
- トラブルシューティング
- サポートされる MIB
- Cisco IOS ファイル システム、コンフィ ギュレーション ファイル、およびソフト ウェア イメージの操作
- Cisco IOS Release 12.2(55)SE でサポート されていないコマンド
- 索引
Cisco IE 3000 スイッチ ソフトウェア コンフィギュ レーション ガイド,12.2(55)SE
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: IPv6 ACL の設定
IPv6 ACL の設定
この章では、IE3000 スイッチに IPv6 ACL を設定する方法について説明します。IP バージョン 4(IPv4)の名前付き Access Control List(ACL; アクセス制御リスト)を作成して適用する方法と同様に、IPv6 ACL を作成してインターフェイスに適用することにより、IP バージョン 6(IPv6)トラフィックをフィルタリングできます。入力ルータの ACL を作成して適用することにより、レイヤ 3 管理トラフィックのフィルタリングもできます。
(注) IPv6 を使用するには、スイッチにデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定する必要があります。テンプレートを選択するには、sdm prefer {default | dual-ipv4-and-ipv6 グローバル コンフィギュレーション コマンドを入力します。IPv6 の ACL をサポートするのは、IP サービス イメージが稼動しているスイッチだけです。
•
SDM テンプレートの詳細については、「SDM テンプレートの設定」を参照してください。
• スイッチの ACL の詳細については、「IPv6 ACL の設定」を参照してください。
(注) この章で使用しているコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスまたは手順に記載された Cisco IOS のマニュアルを参照してください。
IPv6 ACL の概要
スイッチ イメージは、2 種類の IPv6 ACL をサポートします。
– レイヤ 3 インターフェイス(ルーテッド ポート、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)、またはレイヤ 3 EtherChannel)のアウトバウンド トラフィックまたはインバウンド トラフィックでサポートされます。
– ルーティングされる IPv6 パケットだけに適用されます。
– レイヤ 2 インターフェイスのインバウンド トラフィックでだけサポートされます。
– インターフェイスに着信するすべての IPv6 パケットに適用されます。
(注) サポートされない IPv6 ACL を設定するとエラー メッセージが表示され、設定は有効になりません。
スイッチは、IPv6 トラフィックの VLAN ACL(VLAN マップ)をサポートしません。
(注) スイッチでの ACL サポートについては、「ACL によるネットワーク セキュリティの設定」を参照してください。
1 つのインターフェイスに IPv4 と IPv6 両方の ACL を適用できます。
IPv4 ACL と同様に、IPv6 のポート ACL も、ルータ ACL より優先されます。
• 入力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信されたパケットには、ポートの ACL のフィルタが適用されます。他のポートで受信したルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。
• 出力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信されたパケットには、ポート ACL のフィルタが適用されます。発信するルーティング IPv6 パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。
(注) いずれかのポート ACL(IPv4、IPv6、または MAC)がインターフェイスに適用された場合、そのポート ACL を使用してパケットをフィルタリングし、ポート VLAN の SVI に適用されたルータ ACL は無視されます。
ここでは、スイッチの IPv6 ACL の特性について説明します。
サポートされる ACL 機能
• フラグメント化されたフレーム(IPv4 では fragments キーワード)がサポートされます。
• IPv4 と同じ統計情報が IPv6 ACL でもサポートされます。
• スイッチの TCAM 領域が足りなくなると、ACL ラベルに関連付けられているパケットが CPU に転送され、ACL がソフトウェアで適用されます。
• ホップバイホップ オプション付きのルーテッド パケットおよびブリッジド パケットでは、IPv6 ACL がソフトウェアに適用されます。
IPv6 ACL の制限事項
IPv4 では、番号付きの標準 IP ACL および拡張 IP ACL、名前付き IP ACL、および MAC ACL を設定できます。IPv6 では、名前付き ACL だけサポートされます。
スイッチでは、一部の例外を除いて、Cisco IOS でサポートされる IPv6 ACL の大部分がサポートされます。
• IPv6 送信元アドレスと宛先アドレス:ACL 照合は、Universal Identifier(EUI)-64 形式の /0 ~ /64 のプレフィクスと、ホスト アドレス(/128)でだけサポートされます。スイッチは、サポートする情報の損失のないホスト アドレスは次のものだけです。
• スイッチは flowlabel 、 routing header 、および undetermined-transport キーワードの照合をサポートしません。
• スイッチは再帰 ACL( reflect キーワード)をサポートしません。
• このリリースでは、IPv6 のポート ACL およびルータ ACL だけがサポートされます。VLAN ACL(VLAN マップ)はサポートされません。
• スイッチは、IPv6 フレームに MAC ベース ACL を適用しません。
• IPv6 のポート ACL は、レイヤ 2 EtherChannel に適用できません。
• IPv6 の出力ルータの ACL および入力ポートの ACL は、スイッチでだけサポートされます。スイッチは、コントロール プレーン(着信)の IPv6 ACL だけをサポートします。
• ACL を設定する場合、ACL に入力されるキーワードには、それがプラットフォームでサポートされるかどうかにかかわらず、制限はありません。ハードウェア転送を必要とするインターフェイス(物理ポートまたは SVI)に ACL を適用する場合、スイッチはそのインターフェイスで ACL がサポートされるかどうかを判別します。サポートされない場合、ACL の付加が拒否されます。
• ACL をインターフェイスに適用して、サポートされないキーワードを含むAccess Control Entry(ACE; アクセス制御エントリ)を追加しようとすると、スイッチは現在そのインターフェイスに適用されている ACL にその ACE を追加することを許可しません。
IPv6 ACL の設定
IPv6 の ACL を設定する前に、デュアル IPv4/IPv6 SDM テンプレートのいずれかを選択する必要があります。
IPv6 トラフィックをフィルタリングする手順は、次のとおりです。
ステップ 1 IPv6 ACL を作成し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。
ステップ 2 IPv6 ACL でトラフィックをブロックする(拒否)か通過させる(許可)かを設定します。
ステップ 3 インターフェイスに IPv6 ACL を適用します。ルータ ACL では、ACL が適用されるレイヤ 3 インターフェイスにも IPv6 アドレスを設定する必要があります。
ここでは、IPv6 ACL を設定して適用する手順について説明します。
IPv6 ACL のデフォルト設定
他の機能との相互作用
IPv6 ACL の設定には、他の機能またはスイッチ特性と次の相互作用があります。
• IPv6 ルータの ACL がパケットを拒否するように設定されている場合、パケットは廃棄されます。パケットのコピーが Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)キューに送信され、フレームに ICMP 到達不能メッセージが生成されます。
• ポート ACL によりブリッジド フレームが廃棄されると、そのフレームはブリッジされません。
• IPv4 と IPv6 の両方の ACL を 1 つのスイッチに作成して、両方の ACL を同じインターフェイスに適用できます。それぞれの ACL には一意の名前が必要です。設定済みの名前を使用しようとすると、エラー メッセージが表示されます。
IPv4 ACL と IPv6 ACL の作成、および同一のレイヤ 2 インターフェイスまたはレイヤ 3 インターフェイスへのIPv4 ACL または IPv6 ACL の適用には、異なるコマンドを使用します。ACL を付加するときに間違ったコマンドを使用すると(たとえば、IPv4 のコマンドを使ってIPv6 ACL を付加しようとすると)、エラー メッセージが表示されます。
• MAC ACL を使用して、IPv6 フレームをフィルタリングできません。MAC ACL は、非 IP フレームだけをフィルタリングできます。
• TCAM が満杯の場合に設定済み ACL を追加すると、パケットが CPU に転送されて、ACL はソフトウェアで適用されます。
IPv6 ACL の作成
IPv6 ACL を作成するには、特権 EXEC モードで次の手順を実行します。
指定のアクセス リストから拒否または許可条件を削除するには、キーワードを指定して no deny | permit IPv6 アクセスリスト コンフィギュレーション コマンドを使用します。
次の例では、CISCO という IPv6 アクセス リストを設定します。リストの最初の拒否エントリは、5000 より大きい宛先 TCP ポート番号を持ったパケットをすべて拒否します。2 番めの拒否エントリは、5000 未満の送信元 UDP ポート番号を持ったパケットをすべて拒否します。また、この 2 番めの拒否エントリは、すべての一致をコンソールに表示します。リストの最初の許可エントリは、すべての ICMP パケットを許可します。リストの 2 番めの許可エントリは、その他のすべてのトラフィックを許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 アクセス リストの末尾にあるので、この 2 番めの許可エントリが必要となります。
インターフェイスへの IPv6 ACL の適用
ここでは、ネットワーク インターフェイスに IPv6 ACL を適用する方法を説明します。ACL は、レイヤ 3 インターフェイスのアウトバウンドまたはインバウンド トラフィックに、あるいはレイヤ 2 インターフェイスのインバウンド トラフィックに適用できます。
インターフェイスへのアクセスを制御するには、特権 EXEC モードで次の手順を実行します。
インターフェイスからアクセス リストを削除するには、 no ipv6 traffic-filter access-list-name インターフェイス コンフィギュレーション コマンドを使用します。
次に、レイヤ 3 インターフェイスのアウトバウンド トラフィックにアクセスリスト Cisco を適用する例を示します。
IPv6 ACL の表示
表 44-1 に示す 1 つまたは複数の特権 EXEC コマンドを使用して、設定済みのすべてのアクセス リスト、すべての IPv6 アクセス リスト、または特定のアクセス リストに関する情報を表示できます。
|
|
|
|---|---|
次の例では、 show access-lists 特権 EXEC コマンドの出力を示します。出力では、スイッチに設定されたすべてのアクセス リストが表示されます。
次の例では、 show ipv6 access-lists 特権 EXEC コマンドの出力を示します。出力には、スイッチに設定された IPv6 アクセス リストだけが表示されます。
フィードバック