- はじめに
- 概要
- CLI の使用方法
- スイッチの IP アドレスおよびデフォルト ゲー トウェイの割り当て
- Cisco IOS Configuration Engine の設定
- スイッチの管理
- スイッチ アラームの設定
- SDM テンプレートの設定
- スイッチベースの認証の設定
- IEEE 802.1x ポートベースの認証の設定
- インターフェイスの設定
- コマンド マクロの設定
- VLAN の設定
- プライベート VLAN の設定
- IEEE 802.1Q トンネリング、 VLAN マッピン グ、 およびレイヤ 2 プロトコル トンネリング の設定
- STP の設定
- MSTP の設定
- オプションのスパニング ツリー機能の設定方法
- レジリエント イーサネット プロトコルの設定
- Flex Link および MAC アドレス テーブル移 行更新機能の設定
- DHCP 機能および IP ソース ガードの設定
- ダイナミック ARP 検査の設定
- IGMP スヌーピングおよび MVR の設定
- ポートベースのトラフィック制御の設定
- CDP の設定
- LLDP および LLDP-MED の設定
- UDLD の設定
- SPAN および RSPAN の設定
- RMON の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- Embedded Event Manager の設定
- ACL によるネットワーク セキュリティの設定
- コントロール プレーンのセキュリティ設定
- QoS の設定
- EtherChannel およびリンクステート トラッ キングの設定
- IP ユニキャスト ルーティングの設定
- IPv6 ユニキャスト ルーティングの設定
- IPv6 MLD スヌーピングの設定
- IPv6 ACL の設定
- HSRP の設定
- Cisco IOS IP SLA 動作の設定
- 拡張オブジェクト トラッキングの設定
- イーサネット OAM、CFM、および E-LMI の 設定
- IP マルチキャスト ルーティングの設定
- MSDP の設定
- トラブルシューティング
- オンライン診断の設定
- サポートされている MIB
- Cisco IOS ファイル システム、コンフィギュ レーション ファイル、およびソフトウェア イ メージの操作
- Cisco IOS リリース 12.2(52)SE でサポート されていないコマンド
- 索引
Cisco ME 3400E イーサネット アクセス スイッチ ソ フトウェア コンフィギュレーション ガイド,12.2(52)SE
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月19日
章のタイトル: IPv6 ACL の設定
IPv6 ACL の設定
Cisco ME 3400E イーサネット アクセス スイッチがメトロ IP アクセス イメージを実行している場合、ACL と呼ばれる IP Version 4(IPv4)を作成して適用する場合と同じ方法で、IPv6 Access Control List(ACL; アクセス コントロール リスト)を作成し、それらをインターフェイスに適用して、IP Version 6(IPv6)トラフィックをフィルタリングできます。また、入力ルータ ACL を作成して適用することで、レイヤ 3 管理トラフィックをフィルタできます。
(注) IPv6 を使用するには、スイッチにデュアル IPv4 および IPv6 Switch Database Management(SDM; スイッチ データベース管理)テンプレートを設定しておく必要があります。sdm prefer dual-ipv4-and-ipv6 {default | routing | vlan} グローバル コンフィギュレーション コマンドを入力し、テンプレートを選択します。
•
SDM テンプレートの詳細については、 第 7 章「SDM テンプレートの設定」 を参照してください。
• スイッチの IPv6 の詳細については、 第 37 章「IPv6 ユニキャスト ルーティングの設定」 を参照してください。
• スイッチの ACL の詳細については、 第 32 章「ACL によるネットワーク セキュリティの設定」 を参照してください。
(注) この章で使用するコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンス、または手順に記載された Cisco IOS のマニュアルを参照してください。
IPv6 ACL の概要
メトロ IP アクセス イメージを実行しているスイッチは、次の 2 種類の IPv6 ACL をサポートしています。
• IPv6 ルータ ACL は、レイヤ 3 インターフェイスの発信または着信トラフィックでサポートされています。これらはルーテッド ポート、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)、またはレイヤ 3 EtherChannel です。IPv6 ルータ ACL は、ルーテッド IPv6 パケットにだけ適用されます。
• IPv6 ポート ACL は、レイヤ 2 インターフェイスの受信トラフィックでだけサポートされています。IPv6 ポート ACL はインターフェイスに入るすべての IPv6 パケットに適用されます。
スイッチは、IPv6 トラフィックの VLAN ACL(VLAN マップ)をサポートしていません。
サポートされていない IPv6 ACL を設定すると、エラー メッセージが表示され、設定は無効となります。
(注) スイッチでの IPv4 ACL のサポートの詳細については、第 32 章「ACL によるネットワーク セキュリティの設定」を参照してください。
IPv4 および IPv6 ACL の両方をインターフェイスに適用できます。
IPv4 ACL と同様に、IPv6 ポート ACL は、ルータ ACL より優先されます。
• SVI に入力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートにパケットが着信すると、このパケットはポート ACL によってフィルタリングされます。他のポートで受信したルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。
• SVI に出力ルータ ACL および入力ポート ACL が設定されている場合に、ポート ACL が適用されているポートにパケットが着信すると、パケットはポート ACL によってフィルタリングされます。発信するルーティング IPv6 パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。
(注) いずれかのポート ACL(IPv4、IPv6、または MAC)がインターフェイスに適用された場合、そのポート ACL がパケットをフィルタリングし、ポート VLAN の SVI に適用されたルータ ACL は無視されます。
ここでは、スイッチの IPv6 ACL の特性の一部について説明します。
サポートされている ACL の機能
スイッチの IPv6 ACL には次の 3 つの特性があります。
• 分割されたフレーム(IPv4 の fragments キーワード)はサポートされていません。
• IPv4 でサポートされている統計情報は IPv6 ACL でサポートされます。
• スイッチでハードウェアの領域が不足している場合、ACL に関連付けられているパケットは CPU に転送され、ACL はソフトウェアで適用されます。
• ホップバイホップ オプションによるルーテッド パケットまたはブリッジド パケットでは、IPv6 ACL はソフトウェアで適用されます。
IPv6 ACL の制限事項
IPv4 では、標準番号および拡張番号付き IP ACL、名前付き IP ACL、および MAC ACL を設定できます。IPv6 では、名前付き ACL だけがサポートされています。
スイッチでは、Cisco IOS がサポートする多くの IPv6 ACL がサポートされていますが、次の例外があります。
• スイッチでは、 flowlabel 、 routing header 、および undetermined-transport の各キーワードでの照合はサポートされていません。
• スイッチでは、再帰 ACL( reflect キーワード)はサポートされていません。
• このリリースでは、IPv6 の ポート ACL およびルータ ACL はサポートされていません。また VLAN ACL(VLAN マップ)はサポートされていません。
• スイッチは、IPv6 フレームに MAC ベース ACL を適用しません。
• IPv6 ポート ACL をレイヤ 2 EtherChannel に適用できません。
• スイッチは、出力ポート ACL をサポートしていません。
• ACL を設定する場合、プラットフォームでサポートされているかどうかに関係なく、ACL に入力するキーワードに制限はありません。ACL をハードウェア転送(物理ポートまたは SVI)が必要なインターフェイスに適用する場合、スイッチは ACL がインターフェイスでサポートできるかどうかを確認します。サポートされない場合、ACL 付加は拒否されます。
• ACL がインターフェイスに適用され、サポートされていないキーワードで Access Control Entry(ACE; アクセス制御エントリ)を追加する場合、スイッチは付加 ACL への ACE 追加を許可しません。
IPv6 ACL の設定
IPv6 ACL を設定する前に、デュアル IPv4 および IPv6 SDM テンプレートのいずれかを選択する必要があります。
IPv6 トラフィックをフィルタリングするには、次の手順を実行します。
ステップ 1 IPv6 ACL を作成し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。
ステップ 2 トラフィックをブロック(deny)または許可(permit)するよう、IPv6 ACL を設定します。
ステップ 3 IPv6 ACL をインターフェイスに適用します。ルータ ACL には、ACL が適用される レイヤ 3 インターフェイスに IPv6 アドレスを設定する必要もあります。
IPv6 ACL のデフォルト設定
他の機能およびスイッチとの相互作用
IPv6 ACL を設定すると、他の機能またはスイッチの特性に関して次のような相互作用があります。
• IPv6 ルータ ACL がパケットを拒否するよう設定されている場合、パケットはルーティングされません。パケットのコピーが Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)キューに送信され、フレームに対して ICMP の Unreachable メッセージが生成されます。
• ポート ACL によりブリッジド フレームがドロップされると、フレームはブリッジされません。
• スイッチで IPv4 および IPv6 ACL を作成でき、IPv4 および IPv6 ACL を同じインターフェイスに適用できます。それぞれの ACL には一意な名前を指定する必要があります。すでに設定されている名前を使用しようとすると、エラーメッセージが表示されます。
IPv4 および IPv6 ACL を作成し、IPv4 または IPv6 ACL を同じレイヤ 2 またはレイヤ 3 インターフェイスに付加する場合は、異なるコマンドを使用します。誤ったコマンドを使用して ACL を付加(IPv4 コマンドを使用して IPv6 ACL に付加など)すると、エラー メッセージが表示されます。
• MAC ACL は、IPv6 フレームのフィルタリングに使用できません。MAC ACL がフィルタリングできるのは、非 IP フレームだけです。
• ハードウェア メモリが満杯の場合、追加で設定された ACL については、パケットが CPU に転送され、ACL がソフトウェアで適用されます。
IPv6 ACL の作成
IPv6 ACL を作成するには、特権 EXEC モードで次の手順を実行します。
no { deny | permit } IPv6 アクセス リスト コンフィギュレーション コマンドとキーワードを使用して、拒否または許可条件を指定のアクセス リストから削除します。
次の例では、CISCO という名前の IPv6 アクセス リストを設定します。リストの最初の拒否エントリは、5000 より大きい宛先 TCP ポート番号を持ったすべてのパケットを拒否します。2 番目の拒否エントリは、5000 未満の送信元 UDP ポート番号を持ったパケットを拒否します。また、この 2 番目の拒否エントリは、すべての一致をコンソールに表示します。リストの最初の許可エントリは、すべての ICMP パケットを許可します。リストの 2 番目の許可エントリは、他のすべてのトラフィックを許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 アクセス リストの末尾にあるので、この 2 番目の許可エントリが必要となります。
インターフェイスへの IPv6 ACL の適用
ここでは、ネットワーク インターフェイスに IPv6 ACL を適用する手順について説明します。ACL は、レイヤ 3 インターフェイスの発信または着信トラフィックに、あるいはレイヤ 2 インターフェイスの着信トラフィックに適用できます。
インターフェイスへのアクセスを制御するには、特権 EXEC モードで次の手順を実行します。
no ipv6 traffic-filter access-list-name インターフェイス コンフィギュレーション コマンドを使用して、アクセス リストをインターフェイスから削除します。
次の例では、アクセス リスト Cisco をレイヤ 3 インターフェイス上の発信トラフィックに適用する方法を示します。
IPv6 ACL の表示
表 39-1 の 1 つまたは複数の特権 EXEC コマンドを使用して、設定されているすべてのアクセス リスト、すべての IPv6 アクセス リスト、または特定のアクセス リストに関する情報を表示できます。
|
|
|
|---|---|
次に、 show access-lists 特権 EXEC コマンドの出力例を示します。出力には、スイッチまたはスイッチ スタックに設定されているすべてのアクセス リストが表示されます。
次に、 show ipv6 access-lists 特権 EXEC コマンドの出力例を示します。出力には、スイッチまたはスイッチ スタックに設定されている IPv6 アクセス リストだけが表示されます。
フィードバック