View
289
Download
4
Category
Preview:
Citation preview
VLAN ACL の設定
この章では、CiscoNX-OSデバイスのVLANACL(アクセスリスト)の設定方法を説明します。
この章は、次の内容で構成されています。
• VLAN ACLの概要, 1 ページ
• VACLのライセンス要件, 3 ページ
• VACLの前提条件, 3 ページ
• VACLの注意事項と制約事項, 4 ページ
• VACLのデフォルト設定, 4 ページ
• VACLの設定, 5 ページ
• VACL設定の確認, 10 ページ
• VACL統計情報のモニタリングとクリア, 11 ページ
• VACLの設定例, 11 ページ
• VACLに関する追加情報, 12 ページ
• VLAN ACLの機能の履歴, 12 ページ
VLAN ACL の概要VLANACL(VACL)は、IP ACLまたはMACACLの適用例の 1つです。VACLを設定し、VLANとの間でルーティングされるかまたはVLAN内でブリッジングされるすべてのパケットに適用できます。 VACLは、セキュリティパケットフィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトだけを目的としたものです。 VACLは方向(入力または出力)で定義されることはありません。
関連トピック
ACLについて
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x OL-25776-03 -J 1
VLAN アクセスマップとエントリVACLは、アクセスマップを使用して、1つまたは複数のマップエントリを順序化したリストを収容します。各マップエントリは、IP ACLまたはMAC ACLを処理に関連付けます。各エントリにはシーケンス番号が付き、これに基づいてエントリの優先度を管理できます。
デバイスがパケットにVACLを適用する際、パケットを許可するACLを含む最初のアクセスマップエントリで設定されている処理を適用します。
VACL とアクションアクセスマップコンフィギュレーションモードでは、actionコマンドを使用して、次のいずれかのアクションを指定します。
Forward
スイッチの通常の動作によって決定された宛先にトラフィックを送信します。
リダイレクト
1つまたは複数の指定インターフェイスにトラフィックをリダイレクトします。
ドロップ
トラフィックをドロップします。ドロップを処理として指定する場合、ドロップされたパ
ケットのログをデバイスが記録するよう指定することもできます。
VACL の統計情報VACLの各ルールのグローバル統計が維持されます。 VACLを複数の VLANに適用した場合、保持されるルール統計情報は、その VACLが適用されている各インターフェイス上で一致(ヒット)したパケットの総数になります。
インターフェイスレベルの VACL統計はサポートされていません。(注)
設定する VLANアクセスマップごとに、その VACLの統計情報を維持するかどうかを指定できます。この機能を使用すると、VACLによってフィルタリングされたトラフィックのモニタが必要かどうかに応じて、あるいはVLANアクセスマップの設定のトラブルシューティングが必要かどうかに応じて、VACL統計をオンまたはオフにできます。
関連トピック
VACL統計情報のモニタリングとクリア, (11ページ)
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x2 OL-25776-03 -J
VLAN ACL の設定VLAN アクセスマップとエントリ
VACL に対する Session Manager のサポートSession Managerは VACLの設定をサポートしています。この機能を使用すると、ACLの設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィ
ギュレーションにコミットする前に確認できます。 Session Managerの詳細については、『CiscoNexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。
VACL のバーチャライゼーションサポート仮想デバイスコンテキスト(VDC)で使用される VACLには、次の事項が適用されます。
• ACLは各 VDCに固有です。ある VDCに作成した ACLは別の VDCに使用できません。
• ACLが複数の VDCに共有されることはないので、ACL名は他の VDCに再利用できます。
•デバイスは、ACLやルールを VDC単位では制限しません。
VACL のライセンス要件次の表に、この機能のライセンス要件を示します。
ライセンス要件製品
VACLにはライセンスは必要ありません。ただし、XLラインカードを使用して最大128,000のACLエントリをサポートするには、スケーラブルなサービスライセンスをインストールする必
要があります。 ライセンスパッケージに含ま
れていない機能はすべてCiscoNX-OSシステムイメージにバンドルされており、追加費用は一
切発生しません。CiscoNX-OSライセンス方式の詳細については、『Cisco NX-OS LicensingGuide』を参照してください。
Cisco NX-OS
VACL の前提条件VACLの前提条件は次のとおりです。
• VACLに使用する IP ACLまたはMAC ACLが存在し、必要な方法でトラフィックをフィルタリングするように設定されていることを確認します。
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x OL-25776-03 -J 3
VLAN ACL の設定VACL に対する Session Manager のサポート
VACL の注意事項と制約事項VACLの設定に関する注意事項は次のとおりです。
• ACLの設定にはSessionManagerを使用することを推奨します。この機能を使用すると、ACLの設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソース
を実行コンフィギュレーションにコミットする前に確認できます。SessionManagerの詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。
• DHCPスヌーピング機能がイネーブルのときには、ACLの統計情報はサポートされません。
•サポートされるVACLエントリの最大数は、XLラインカードを使用しないデバイスで64,000、XLラインカードを使用するデバイスで 128,000です。
• XL以外のラインカードに適用する ACLエントリが多すぎると、設定が拒否されます。
• F1シリーズモジュールの各転送エンジンは 1000の入力 ACLエントリをサポートします。また、984のエントリがユーザ設定に使用できます。 F1シリーズモジュール用の VACLエントリの総数は 1000~ 16,000です。転送エンジンに応じてポリシーが適用されます。
• F1シリーズモジュール内の 16の各転送エンジンは、複数の ACLにわたる最大 250の IPv6アドレスをサポートしています。
• F1シリーズモジュールには、ACLロギングをサポートしていません。
• F1シリーズモジュールはバンクチェーニングをサポートしていません。
•各 VACLは、F1シリーズモジュールでの最大 6つの異なるレイヤ 4動作をサポートできます。
• F1シリーズモジュールの同じポートの複数の VLAN(たとえば、VLAN 10、20)上で同じACLが適用される場合は、複数回(この場合は、VLAN 10上と VLAN 20上で)プログラミングされます。
• F2シリーズモジュールの 12の転送エンジンごとに、総数 16,000の TCAMエントリが 2つのバンクに対して均等に分割されます。デフォルトの 168エントリが予約されます。各転送エンジンは、512の IPv6圧縮 TCAMエントリを持ちます。
• SPAN宛先ポートへの VACLリダイレクトはサポートされません。
• F2シリーズ、M1シリーズ、およびM2シリーズモジュールのみがシーケンス中の拒否ACEをサポートします。
•拒否 ACEサポートの統計は、次のシーケンスベース機能の終了シーケンスでのみサポートされます:VACL、ポリシーベースルーティング(PBR)、およびQualityOfService(QoS)。
VACL のデフォルト設定次の表に、VACLパラメータのデフォルト設定値を示します。
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x4 OL-25776-03 -J
VLAN ACL の設定VACL の注意事項と制約事項
表 1:デフォルトの VACL パラメータ
デフォルトパラメータ
デフォルトでは IP ACLは存在しません。VACL
すべてのACLに暗黙のルールが適用されます。ACLルール
ディセーブル拒否 ACEサポート
VACL の設定
VACL の作成または VACL エントリの追加VACLエントリを新規作成したり、既存の VACLにエントリを追加できます。どちらの場合も、作成した VACLエントリが、1つまたは複数の ACLを一致トラフィックに適用される処理と関連付ける VLANアクセスマップエントリとなります。
はじめる前に
VACLに使用する ACLが存在し、目的に応じたトラフィックフィルタリングが設定されていることを確認します。
手順の概要
1. configure terminal2. vlan access-map map-name [sequence-number]3. 次のいずれかのコマンドを入力します。
• match {ip | ipv6} address ip-access-list
• match mac address mac-access-list
4. action {drop | forward | redirect}5. (任意) [no] statistics per-entry6. (任意) show running-config aclmgr7. (任意) copy running-config startup-config
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x OL-25776-03 -J 5
VLAN ACL の設定VACL の設定
手順の詳細
目的コマンドまたはアクション
グローバルコンフィギュレーションモードを開始しま
す。
configure terminal
例:switch# configure terminalswitch(config)#
ステップ 1
指定した VLANアクセスマップの VLANアクセスマップコンフィギュレーションモードを開始します。VLAN
vlan access-map map-name [sequence-number]
例:switch(config)# vlan access-mapacl-mac-mapswitch(config-access-map)#
ステップ 2
アクセスマップが存在しない場合は、デバイスによって
作成されます。
シーケンス番号を指定しなかった場合、デバイスによっ
て新しいエントリが作成され、このシーケンス番号はア
クセスマップの最後のシーケンス番号よりも 10大きい番号となります。
アクセスマップエントリに ACLを指定します。次のいずれかのコマンドを入力します。ステップ 3
• match {ip | ipv6} address ip-access-list
• match mac address mac-access-list
例:switch(config-access-map)# match macaddress acl-ip-lab
例:switch(config-access-map)# match macaddress acl-mac-01
ACLに一致したトラフィックにデバイスが適用する処理を指定します。
action {drop | forward | redirect}
例:switch(config-access-map)# action forward
ステップ 4
actionコマンドはさまざまなオプションをサポートしています。詳細については、『CiscoNexus 7000SeriesNX-OSSecurity Command Reference』を参照してください。
(任意)
その VACLのルールと一致するパケットのグローバル統計をデバイスが維持するように設定します。
[no] statistics per-entry
例:switch(config-access-map)# statisticsper-entry
ステップ 5
noオプションを使用すると、デバイスはそのVACLのグローバル統計の維持を停止します。
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x6 OL-25776-03 -J
VLAN ACL の設定VACL の作成または VACL エントリの追加
目的コマンドまたはアクション
(任意)
ACLの設定を表示します。show running-config aclmgr
例:switch(config-access-map)# showrunning-config aclmgr
ステップ 6
(任意)
実行コンフィギュレーションを、スタートアップコン
フィギュレーションにコピーします。
copy running-config startup-config
例:switch(config-access-map)# copyrunning-config startup-config
ステップ 7
VACL または VACL エントリの削除VACLを削除できます。これにより、VLANアクセスマップも削除されます。
また、VACLから単一の VLANアクセスマップエントリを削除することもできます。
はじめる前に
その VACLが VLANに適用されているかどうかを確認します。削除できるのは、現在適用されている VACLです。 VACLを削除しても、その VACLが適用されていた VLANの設定は影響を受けません。デバイスは削除された VACLを空であると見なします。
手順の概要
1. configure terminal2. no vlan access-map map-name [sequence-number]3. (任意) show running-config aclmgr4. (任意) copy running-config startup-config
手順の詳細
目的コマンドまたはアクション
グローバルコンフィギュレーションモードを開始し
ます。
configure terminal
例:switch# configure terminalswitch(config)#
ステップ 1
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x OL-25776-03 -J 7
VLAN ACL の設定VACL または VACL エントリの削除
目的コマンドまたはアクション
指定したアクセスマップの VLANアクセスマップの設定を削除します。 sequence-number引数を指定して、
no vlan access-map map-name[sequence-number]
例:switch(config)# no vlan access-mapacl-mac-map 10
ステップ 2
VACLに複数のエントリが含まれる場合、このコマンドにより指定したエントリだけが削除されます。
(任意)
ACLの設定を表示します。show running-config aclmgr
例:switch(config)# show running-config aclmgr
ステップ 3
(任意)
実行コンフィギュレーションを、スタートアップコ
ンフィギュレーションにコピーします。
copy running-config startup-config
例:switch(config)# copy running-configstartup-config
ステップ 4
VACL の VLAN への適用VACLを VLANに適用できます。
はじめる前に
VACLを適用する際には、その VACLが存在し、目的に応じたトラフィックフィルタリングが設定されていることを確認します。
手順の概要
1. configure terminal2. [no] vlan filter map-name vlan-list list3. (任意) show running-config aclmgr4. (任意) copy running-config startup-config
手順の詳細
目的コマンドまたはアクション
グローバルコンフィギュレーションモードを開
始します。
configure terminal
例:switch# configure terminalswitch(config)#
ステップ 1
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x8 OL-25776-03 -J
VLAN ACL の設定VACL の VLAN への適用
目的コマンドまたはアクション
指定したリストによって、VACLを VLANに適用します。 noを使用すると、VACLの適用が解除されます。
[no] vlan filter map-name vlan-list list
例:switch(config)# vlan filter acl-mac-mapvlan-list 1-20,26-30switch(config)#
ステップ 2
(任意)
ACLの設定を表示します。show running-config aclmgr
例:switch(config)# show running-config aclmgr
ステップ 3
(任意)
実行コンフィギュレーションを、スタートアップ
コンフィギュレーションにコピーします。
copy running-config startup-config
例:switch(config)# copy running-configstartup-config
ステップ 4
拒否 ACE サポートの設定シーケンスベースの機能である VACL、ポリシーベースルーティング (PBR)、および QoSについて、シーケンス内の拒否アクセスコントロールエントリ(ACE)をサポートするようにデバイスを設定できます。拒否 ACEがイネーブルの場合、class-map-acl内の拒否 ACE(denyキーワードをともなった ACLルール)に一致するトラフィックは、許可 ACEにヒットするまで、続くclass-map-aclに対して再帰的に照合されます。
はじめる前に
デフォルトまたは管理者 VDCにいることを確認します。
手順の概要
1. configure terminal2. [no] hardware access-list allow deny ace3. (任意) show running-config aclmgr4. (任意) copy running-config startup-config
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x OL-25776-03 -J 9
VLAN ACL の設定拒否 ACE サポートの設定
手順の詳細
目的コマンドまたはアクション
グローバルコンフィギュレーションモードを
開始します。
configure terminal
例:switch# configure terminalswitch(config)#
ステップ 1
シーケンス中の拒否 ACEサポートをイネーブルにします。
[no] hardware access-list allow deny ace
例:switch(config)# hardware access-list allow denyace
ステップ 2
(任意)
ACLの設定を表示します。show running-config aclmgr
例:switch(config)# show running-config aclmgr
ステップ 3
(任意)
実行コンフィギュレーションを、スタートアッ
プコンフィギュレーションにコピーします。
copy running-config startup-config
例:switch(config)# copy running-configstartup-config
ステップ 4
VACL 設定の確認VACL設定情報を表示するには、次の作業のいずれかを行います。これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。
目的コマンド
VACL-relatedの設定も含めて、ACLの設定を表示します。
Cisco NX-OS Release 5.2以降では、このコマンドは、実行コンフィギュレー
ションのユーザ定義 ACLを表示します。 allオプションを使用すると、実行コンフィギュレーションのデフォル
ト(CoPP設定)とユーザ定義によるACLの両方が表示されます。
(注)
show running-config aclmgr [all]
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x10 OL-25776-03 -J
VLAN ACL の設定VACL 設定の確認
目的コマンド
ACLのスタートアップコンフィギュレーションを表示します。
Cisco NX-OS Release 5.2以降では、このコマンドは、スタートアップコン
フィギュレーションのユーザ定義ACLを表示します。 allオプションを使用すると、スタートアップコンフィギュ
レーションのデフォルト(CoPP設定)とユーザ定義による ACLの両方が表示されます。
(注)
show startup-config aclmgr [all]
VLANに適用されているVACLの情報を表示します。
show vlan filter
VLANアクセスマップに関する情報を表示します。
show vlan access-map
VACL 統計情報のモニタリングとクリアVACLの統計情報をモニタまたはクリアを行うには、次の表に示すコマンドのいずれかを使用します。これらのコマンドの詳細については、『Cisco Nexus 7000 Series NX-OS Security CommandReference』を参照してください。
目的コマンド
VACLの設定を表示します。 VLANアクセスマップに statistics per-entryコマンドが含まれている場合は、show vlan access-listコマンドの出力に、各ルールと一致したパケットの数が含
まれます。
show vlan access-list
すべての VACL、または特定の VACLの統計情報を消去します。
clear vlan access-list counters
VACL の設定例次の例では、acl-mac-01という名前のMAC ACLで許可されたトラフィックを転送する VACLを設定し、その VACLを VLAN 50~ 82に適用します。conf tvlan access-map acl-mac-map
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x OL-25776-03 -J 11
VLAN ACL の設定VACL 統計情報のモニタリングとクリア
match mac address acl-mac-01action forward
vlan filter acl-mac-map vlan-list 50-82
VACL に関する追加情報
関連資料
参照先関連項目
『CiscoNexus 7000 Series NX-OS Security CommandReference』
VACLのコマンド:完全なコマンド構文、コマンドモード、コマンド履歴、デフォルト値、使
用上の注意、例
『Cisco Nexus 7000 Series NX-OS Unicast RoutingConfiguration Guide』
ポリシーベースルーティング (PBR)設定
『Cisco Nexus 7000 Series NX-OSQuality of ServiceConfiguration Guide』
QoSの設定
標準
タイトル標準
—この機能では、新規の標準がサポートされるこ
とも、一部変更された標準がサポートされるこ
ともありません。また、既存の標準に対するサ
ポートが変更されることもありません。
VLAN ACL の機能の履歴次の表に、この機能のリリースの履歴を示します。
表 2:VLAN ACL の機能の履歴
機能情報リリース機能名
シーケンス中の拒否 ACEに対するサポートが追加さ
れました。
6.1(3)VLAN ACL
F2シリーズモジュールが更新されました。
6.0(1)VLAN ACL
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x12 OL-25776-03 -J
VLAN ACL の設定VACL に関する追加情報
機能情報リリース機能名
実行コンフィギュレーショ
ンとスタートアップコン
フィギュレーションでユー
ザ設定 ACLだけを表示する(およびデフォルトの
CoPP設定ACLを表示しない)ように、showrunning-config aclmgrコマンドと show startup-configaclmgrコマンドが変更されました。
5.2(1)VLAN ACL
Release 5.0以降、変更はありません。
5.1(1)VLAN ACL
スケーラブルなサービス
ライセンスがインストール
されており、XLラインカードを使用している場
合、最大 128,000の ACLエントリがサポートされる
ようになりました。
5.0(2)VLAN ACL
リリース 4.1からの変更はありません。
4.2(1)VLANアクセスマップ
Cisco Nexus 7000 シリーズ NX-OS セキュリティコンフィギュレーションガイドリリース 6.x OL-25776-03 -J 13
VLAN ACL の設定VLAN ACL の機能の履歴
Recommended