vlan acl の設定 - cisco...vlan acl...
TRANSCRIPT
-
VLAN ACL の設定
この章では、CiscoNX-OSデバイスのVLANACL(アクセスリスト)の設定方法を説明します。
この章は、次の項で構成されています。
• 機能情報の確認, 1 ページ
• VLAN ACLの概要, 2 ページ
• VACLのライセンス要件, 3 ページ
• VACLの前提条件, 4 ページ
• VACLの注意事項と制約事項, 4 ページ
• VACLのデフォルト設定, 5 ページ
• VACLの設定, 5 ページ
• VACL設定の確認, 10 ページ
• VACL統計情報のモニタリングとクリア, 11 ページ
• VACLの設定例, 12 ページ
• VACLに関する追加情報, 12 ページ
• VLAN ACLの機能の履歴, 13 ページ
機能情報の確認ご使用のソフトウェアリリースで、このモジュールで説明されるすべての機能がサポートされて
いるとは限りません。最新の警告および機能情報については、https://tools.cisco.com/bugsearch/のBug Search Toolおよびご使用のソフトウェアリリースのリリースノートを参照してください。このモジュールに記載されている機能の詳細、および各機能がサポートされているリリースのリス
トについては、「新機能および変更された機能に関する情報」の章または以下の「機能の履歴」
表を参照してください。
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド OL-25776-03-J 1
https://tools.cisco.com/bugsearch/
-
VLAN ACL の概要VLANACL(VACL)は、IP ACLまたはMACACLの適用例の 1つです。VACLを設定し、VLANとの間でルーティングされるかまたはVLAN内でブリッジングされるすべてのパケットに適用できます。VACLは、セキュリティパケットフィルタリングおよび特定の物理インターフェイスへのトラフィックのリダイレクトだけを目的としたものです。VACLは方向(入力または出力)で定義されることはありません。
関連トピック
ACLの概要
VLAN アクセスマップとエントリVACLは、アクセスマップを使用して、1つまたは複数のマップエントリを順序化したリストを収容します。各マップエントリは、IPACLまたはMACACLを処理に関連付けます。各エントリにはシーケンス番号が付き、これに基づいてエントリの優先度を管理できます。
デバイスがパケットにVACLを適用する際、パケットを許可するACLを含む最初のアクセスマップエントリで設定されている処理を適用します。
VACL とアクションアクセスマップコンフィギュレーションモードでは、actionコマンドを使用して、次のいずれかのアクションを指定します。
フォワード
スイッチの通常の動作によって決定された宛先にトラフィックを送信します。
リダイレクト
1つまたは複数の指定インターフェイスにトラフィックをリダイレクトします。
ドロップ
トラフィックをドロップします。ドロップを処理として指定する場合、ドロップされたパ
ケットのログをデバイスが記録するよう指定することもできます。
VACL の統計情報VACLの各ルールのグローバル統計が維持されます。VACLを複数の VLANに適用した場合、保持されるルール統計情報は、その VACLが適用されている各インターフェイス上で一致(ヒット)したパケットの総数になります。
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド2 OL-25776-03-J
VLAN ACL の設定VLAN ACL の概要
b_Cisco_Nexus_7000_NX-OS_Security_Configuration_Guide__Release_7-x_chapter_01111.pdf#unique_571
-
インターフェイスレベルの VACL統計はサポートされていません。(注)
設定する VLANアクセスマップごとに、その VACLの統計情報を維持するかどうかを指定できます。この機能を使用すると、VACLによってフィルタリングされたトラフィックのモニタが必要かどうかに応じて、あるいはVLANアクセスマップの設定のトラブルシューティングが必要かどうかに応じて、VACL統計をオンまたはオフにできます。
関連トピック
VACL統計情報のモニタリングとクリア, (11ページ)
VACL に対する Session Manager のサポートSessionManagerはVACLの設定をサポートしています。この機能を使用すると、ACLの設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソースを実行コンフィ
ギュレーションにコミットする前に確認できます。Session Managerの詳細については、『CiscoNexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。
VACL のバーチャライゼーションサポート仮想デバイスコンテキスト(VDC)で使用される VACLには、次の事項が適用されます。
• ACLは各 VDCに固有です。ある VDCに作成した ACLは別の VDCに使用できません。
• ACLが複数の VDCに共有されることはないので、ACL名は他の VDCに再利用できます。
•デバイスは、ACLやルールを VDC単位では制限しません。
VACL のライセンス要件次の表に、この機能のライセンス要件を示します。
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド OL-25776-03-J 3
VLAN ACL の設定VACL に対する Session Manager のサポート
-
ライセンス要件製品
VACLにはライセンスは必要ありません。ただし、XLラインカードを使用して最大128,000のACLエントリをサポートするには、スケーラブルなサービスライセンスをインストールする必
要があります。ライセンスパッケージに含ま
れていない機能はすべてCiscoNX-OSシステムイメージにバンドルされており、追加費用は一
切発生しません。Cisco NX-OSライセンス方式の詳細については、『Cisco NX-OS LicensingGuide』を参照してください。
Cisco NX-OS
VACL の前提条件VACLの前提条件は次のとおりです。
• VACLに使用する IP ACLまたはMAC ACLが存在し、必要な方法でトラフィックをフィルタリングするように設定されていることを確認します。
VACL の注意事項と制約事項VACLの設定に関する注意事項は次のとおりです。
• ACLの設定にはSessionManagerを使用することを推奨します。この機能を使用すると、ACLの設定を調べて、その設定に必要とされるリソースが利用可能であるかどうかを、リソース
を実行コンフィギュレーションにコミットする前に確認できます。SessionManagerの詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。
• DHCPスヌーピング機能がイネーブルのときには、ACLの統計情報はサポートされません。
•サポートされるVACLエントリの最大数は、XLラインカードを使用しないデバイスで64,000、XLラインカードを使用するデバイスで 128,000です。
• XL以外のラインカードに適用する ACLエントリが多すぎると、設定が拒否されます。
• F1シリーズモジュールの各転送エンジンは 1000の入力 ACLエントリをサポートします。また、984のエントリがユーザ設定に使用できます。F1シリーズモジュール用の VACLエントリの総数は 1000~ 16,000です。転送エンジンに応じてポリシーが適用されます。
• F1シリーズモジュール内の 16の各転送エンジンは、複数の ACLにわたる最大 250の IPv6アドレスをサポートしています。
• F1シリーズモジュールには、ACLロギングをサポートしていません。
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド4 OL-25776-03-J
VLAN ACL の設定VACL の前提条件
-
• F1シリーズモジュールはバンクチェーニングをサポートしていません。
•各 VACLは、F1シリーズモジュールでの最大 6つの異なるレイヤ 4動作をサポートできます。
• F1シリーズモジュールの同じポートの複数の VLAN(たとえば、VLAN 10、20)上で同じACLが適用される場合は、複数回(この場合は、VLAN 10上と VLAN 20上で)プログラミングされます。
• F2シリーズモジュールの 12の転送エンジンごとに、総数 16,000の TCAMエントリが 2つのバンクに対して均等に分割されます。デフォルトの 168エントリが予約されます。各転送エンジンは、512の IPv6圧縮 TCAMエントリを持ちます。
• SPAN宛先ポートへの VACLリダイレクトはサポートされません。
• F2シリーズ、M1シリーズ、およびM2シリーズモジュールのみがシーケンス中の拒否ACEをサポートします。
•拒否 ACEサポートの統計は、次のシーケンスベース機能の終了シーケンスでのみサポートされます:VACL、ポリシーベースルーティング(PBR)、およびQualityOfService(QoS)。
VACL のデフォルト設定次の表に、VACLパラメータのデフォルト設定値を示します。
表 1:VACL のデフォルトパラメータ
デフォルトパラメータ
デフォルトでは IP ACLは存在しません。VACL
すべてのACLに暗黙のルールが適用されます。ACLルール
ディセーブル拒否 ACEサポート
VACL の設定
VACL の作成または VACL エントリの追加VACLエントリを新規作成したり、既存の VACLにエントリを追加できます。どちらの場合も、作成した VACLエントリが、1つまたは複数の ACLを一致トラフィックに適用される処理と関連付ける VLANアクセスマップエントリとなります。
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド OL-25776-03-J 5
VLAN ACL の設定VACL のデフォルト設定
-
はじめる前に
VACLに使用する ACLが存在し、目的に応じたトラフィックフィルタリングが設定されていることを確認します。
手順の概要
1. configure terminal2. vlan access-map map-name [sequence-number]3. 次のいずれかのコマンドを入力します。
• match {ip | ipv6} addressip-access-list
• matchmacaddressmac-access-list
4. action {drop | forward | redirect}5. (任意) [no] statistics per-entry6. (任意) show running-config aclmgr7. (任意) copy running-config startup-config
手順の詳細
目的コマンドまたはアクション
グローバルコンフィギュレーションモードを開始しま
す。
configure terminal
例:switch# configure terminalswitch(config)#
ステップ 1
指定した VLANアクセスマップの VLANアクセスマップコンフィギュレーションモードを開始します。VLAN
vlan access-mapmap-name [sequence-number]
例:switch(config)# vlan access-mapacl-mac-mapswitch(config-access-map)#
ステップ 2
アクセスマップが存在しない場合は、デバイスによって
作成されます。
シーケンス番号を指定しなかった場合、デバイスによっ
て新しいエントリが作成され、このシーケンス番号はア
クセスマップの最後のシーケンス番号よりも10大きい番号となります。
アクセスマップエントリに ACLを指定します。次のいずれかのコマンドを入力します。ステップ 3
• match {ip | ipv6} addressip-access-list
• matchmacaddressmac-access-list
例:switch(config-access-map)# match macaddress acl-ip-lab
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド6 OL-25776-03-J
VLAN ACL の設定VACL の作成または VACL エントリの追加
-
目的コマンドまたはアクション
例:switch(config-access-map)# match macaddress acl-mac-01
ACLに一致したトラフィックにデバイスが適用する処理を指定します。
action {drop | forward | redirect}
例:switch(config-access-map)# action forward
ステップ 4
actionコマンドはさまざまなオプションをサポートしています。詳細については、『CiscoNexus 7000 SeriesNX-OSSecurity Command Reference』を参照してください。
(任意)
その VACLのルールと一致するパケットのグローバル統計をデバイスが維持するように設定します。
[no] statistics per-entry
例:switch(config-access-map)# statisticsper-entry
ステップ 5
noオプションを使用すると、デバイスはそのVACLのグローバル統計の維持を停止します。
(任意)
ACLの設定を表示します。show running-config aclmgr
例:switch(config-access-map)# showrunning-config aclmgr
ステップ 6
(任意)
実行コンフィギュレーションを、スタートアップコンフィ
ギュレーションにコピーします。
copy running-config startup-config
例:switch(config-access-map)# copyrunning-config startup-config
ステップ 7
VACL または VACL エントリの削除VACLを削除できます。これにより、VLANアクセスマップも削除されます。
また、VACLから単一の VLANアクセスマップエントリを削除することもできます。
はじめる前に
そのVACLがVLANに適用されているかどうかを確認します。削除できるのは、現在適用されている VACLです。VACLを削除しても、その VACLが適用されていた VLANの設定は影響を受けません。デバイスは削除された VACLを空であると見なします。
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド OL-25776-03-J 7
VLAN ACL の設定VACL または VACL エントリの削除
-
手順の概要
1. configure terminal2. no vlan access-map map-name [sequence-number]3. (任意) show running-config aclmgr4. (任意) copy running-config startup-config
手順の詳細
目的コマンドまたはアクション
グローバルコンフィギュレーションモードを開始し
ます。
configure terminal
例:switch# configure terminalswitch(config)#
ステップ 1
指定したアクセスマップの VLANアクセスマップの設定を削除します。sequence-number引数を指定して、
no vlan access-map map-name[sequence-number]
例:switch(config)# no vlan access-mapacl-mac-map 10
ステップ 2
VACLに複数のエントリが含まれる場合、このコマンドにより指定したエントリだけが削除されます。
(任意)
ACLの設定を表示します。show running-config aclmgr
例:switch(config)# show running-config aclmgr
ステップ 3
(任意)
実行コンフィギュレーションを、スタートアップコン
フィギュレーションにコピーします。
copy running-config startup-config
例:switch(config)# copy running-configstartup-config
ステップ 4
VACL の VLAN への適用VACLを VLANに適用できます。
はじめる前に
VACLを適用する際には、その VACLが存在し、目的に応じたトラフィックフィルタリングが設定されていることを確認します。
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド8 OL-25776-03-J
VLAN ACL の設定VACL の VLAN への適用
-
手順の概要
1. configure terminal2. [no] vlan filter map-name vlan-list list3. (任意) show running-config aclmgr4. (任意) copy running-config startup-config
手順の詳細
目的コマンドまたはアクション
グローバルコンフィギュレーションモードを開
始します。
configure terminal
例:switch# configure terminalswitch(config)#
ステップ 1
指定したリストによって、VACLをVLANに適用します。noを使用すると、VACLの適用が解除されます。
[no] vlan filter map-name vlan-list list
例:switch(config)# vlan filter acl-mac-mapvlan-list 1-20,26-30switch(config)#
ステップ 2
(任意)
ACLの設定を表示します。show running-config aclmgr
例:switch(config)# show running-config aclmgr
ステップ 3
(任意)
実行コンフィギュレーションを、スタートアップ
コンフィギュレーションにコピーします。
copy running-config startup-config
例:switch(config)# copy running-configstartup-config
ステップ 4
拒否 ACE サポートの設定シーケンスベースの機能である VACL、ポリシーベースルーティング(PBR)、および QoSについて、シーケンス内の拒否アクセスコントロールエントリ(ACE)をサポートするようにデバイスを設定できます。拒否ACEがイネーブルの場合、class-map-acl内のdenyACE(denyキーワードをともなったACLルール)に一致するトラフィックは、permitACEにヒットするまで、後に続く class-map-aclと再帰的に照合されます。
はじめる前に
デフォルトまたは管理者 VDCにいることを確認します。
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド OL-25776-03-J 9
VLAN ACL の設定拒否 ACE サポートの設定
-
手順の概要
1. configure terminal2. [no] hardware access-list allow deny ace3. (任意) show running-config aclmgr4. (任意) copy running-config startup-config
手順の詳細
目的コマンドまたはアクション
グローバルコンフィギュレーションモードを開
始します。
configure terminal
例:switch# configure terminalswitch(config)#
ステップ 1
シーケンス中の拒否ACEサポートをイネーブルにします。
[no] hardware access-list allow deny ace
例:switch(config)# hardware access-list allowdeny ace
ステップ 2
(任意)
ACLの設定を表示します。show running-config aclmgr
例:switch(config)# show running-config aclmgr
ステップ 3
(任意)
実行コンフィギュレーションを、スタートアッ
プコンフィギュレーションにコピーします。
copy running-config startup-config
例:switch(config)# copy running-configstartup-config
ステップ 4
VACL 設定の確認VACL設定情報を表示するには、次の作業のいずれかを行います。これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド10 OL-25776-03-J
VLAN ACL の設定VACL 設定の確認
-
目的コマンド
VACL-relatedの設定も含めて、ACLの設定を表示します。
Cisco NX-OS Release 5.2以降では、このコマンドは、実行コンフィギュレー
ションのユーザ定義 ACLを表示します。allオプションを使用すると、実行コンフィギュレーションのデフォル
ト(CoPP設定)とユーザ定義によるACLの両方が表示されます。
(注)
show running-config aclmgr[all]
ACLのスタートアップコンフィギュレーションを表示します。
Cisco NX-OS Release 5.2以降では、このコマンドは、スタートアップコン
フィギュレーションのユーザ定義ACLを表示します。allオプションを使用すると、スタートアップコンフィギュ
レーションのデフォルト(CoPP設定)とユーザ定義による ACLの両方が表示されます。
(注)
show startup-config aclmgr [all]
VLANに適用されているVACLの情報を表示します。
show vlan filter
VLANアクセスマップに関する情報を表示します。
show vlan access-map
VACL 統計情報のモニタリングとクリアVACLの統計情報をモニタまたはクリアを行うには、次の表に示すコマンドのいずれかを使用します。これらのコマンドの詳細については、『Cisco Nexus 7000 Series NX-OS Security CommandReference』を参照してください。
目的コマンド
VACLの設定を表示します。VLANアクセスマップに statistics per-entryコマンドが含まれている場合は、show vlan access-listコマンドの出力に、各ルールと一致したパケットの数が含
まれます。
show vlan access-list
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド OL-25776-03-J 11
VLAN ACL の設定VACL 統計情報のモニタリングとクリア
-
目的コマンド
すべての VACL、または特定の VACLの統計情報を消去します。
clear vlan access-list counters
VACL の設定例次の例では、acl-mac-01という名前のMAC ACLで許可されたトラフィックを転送する VACLを設定し、その VACLを VLAN 50~ 82に適用します。conf tvlan access-map acl-mac-mapmatch mac address acl-mac-01action forward
vlan filter acl-mac-map vlan-list 50-82
VACL に関する追加情報
関連資料
マニュアルタイトル関連項目
『CiscoNexus 7000 Series NX-OS Security CommandReference』
VACLのコマンド:完全なコマンド構文、コマンドモード、コマンド履歴、デフォルト値、使
用上の注意、例
『Cisco Nexus 7000 Series NX-OS Unicast RoutingConfiguration Guide』
ポリシーベースルーティング (PBR)設定
『Cisco Nexus 7000 Series NX-OSQuality of ServiceConfiguration Guide』
QoSの設定
標準
タイトル標準
—この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準
のサポートは変更されていません。
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド12 OL-25776-03-J
VLAN ACL の設定VACL の設定例
-
VLAN ACL の機能の履歴次の表に、この機能のリリースの履歴を示します。
表 2:VLAN ACL の機能の履歴
機能情報リリース機能名
シーケンス中の拒否 ACEに対するサポートが追加さ
れました。
6.1(3)VLAN ACL
F2シリーズモジュールが更新されました。
6.0(1)VLAN ACL
実行コンフィギュレーショ
ンとスタートアップコン
フィギュレーションでユー
ザ設定 ACLだけを表示する(およびデフォルトの
CoPP設定ACLを表示しない)ように、showrunning-config aclmgrコマンドと show startup-configaclmgrコマンドが変更されました。
5.2(1)VLAN ACL
Release 5.0以降、変更はありません。
5.1(1)VLAN ACL
スケーラブルなサービス
ライセンスがインストール
されており、XLラインカードを使用している場
合、最大 128,000の ACLエントリがサポートされる
ようになりました。
5.0(2)VLAN ACL
リリース 4.1からの変更はありません。
4.2(1)VLANアクセスマップ
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド OL-25776-03-J 13
VLAN ACL の設定VLAN ACL の機能の履歴
-
Cisco Nexus 7000 Series NX-OS セキュリティコンフィギュレーションガイド14 OL-25776-03-J
VLAN ACL の設定VLAN ACL の機能の履歴
VLAN ACL の設定機能情報の確認VLAN ACL の概要VLAN アクセス マップとエントリVACL とアクションVACL の統計情報VACL に対する Session Manager のサポートVACL のバーチャライゼーション サポート
VACL のライセンス要件VACL の前提条件VACL の注意事項と制約事項VACL のデフォルト設定VACL の設定VACL の作成または VACL エントリの追加VACL または VACL エントリの削除VACL の VLAN への適用拒否 ACE サポートの設定
VACL 設定の確認VACL 統計情報のモニタリングとクリアVACL の設定例VACL に関する追加情報VLAN ACL の機能の履歴