ACL


1 機能概要

アクセスリスト(ACL)とは、フレームの許可・拒否を決めるための条件文のことです。
インターフェースに対してアクセスリストを適用すると、許可したフレームと条件に一致しないフレームは転送し、拒否したフレームのみ破棄します。
これにより、特定のフレームのみを転送対象とすることができるため、主にセキュリティを確保するために使用されます。
本製品では、アクセスリストとして下表に示す3種類をサポートします。



2 用語の定義

ACL

Access Control List の略。


ワイルドカードマスク

指定したIPv4アドレス, MACアドレスのどこを読み取るかを指定した情報です。ACLの条件で IPv4アドレス, MACアドレスの範囲を指定する際に使用 します。

ワイルドカードマスクを使用した設定例を以下に示します。 (下線部分がワイルドカードマスク)


3 機能詳細

3.1 アクセスリストの生成

アクセスリストは、IPv4アクセスリスト、IPv6アクセスリスト、MACアクセスリストのそれぞれで 最大28個 生成することができます。
アクセスリストは、1つのリストに対して制御条件を 最大128件 登録することができます。
登録した制御条件を満たさなかった場合、通常どおり転送処理されます。

3.2 インターフェースへの適用

本製品のインターフェースに対するアクセスリストの適用状況は、下表のようになっています。
なお、インターフェースに対して適用可能なアクセスリストは 1つ です。

アクセスリストの
種類
LANポート VLANインターフェース 論理インターフェース
in out in out in out
IPv4アクセスリスト × × × × ×
IPv6アクセスリスト × × × × ×
MACアクセスリスト × × × × ×

インターフェースに適用できるアクセスリストの数は、アクセスリストに登録されている制御条件の数に依存します。
システム全体で使用可能な制御条件の数は IPv4とMACの合計で最大896件、IPv6で最大384件 です。
インターフェースにアクセスリストを適用させると "アクセスリストに登録されている制御条件の数だけ" リソースを消費します。

3.3 LANポートに対する設定

LANポートにアクセスリストを適用させる場合の手順について、以下に示します。

  1. フィルタリング条件を決め、アクセスリストを生成します。
  2. アクセスリストを確認します。
  3. LANポートにアクセスリストを適用します。
  4. 適用したアクセスリストを確認します。


以下に操作コマンドの一覧を示します。



4 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。



5 コマンド実行例

5.1 IPv4アクセスリストの設定

■ホスト指定

LANポート #1 に対して、ホスト: 192.168.1.1 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を IPV4-ACL-EX を追加します。

  1. アクセスリスト #123 を生成し、確認します。
    Yamaha(config)#access-list 123 permit host 192.168.1.1   ... (アクセスリストの生成)
    Yamaha(config)#access-list 123 deny any
    Yamaha(config)#access-list 123 description IPV4-ACL-EX   ... (アクセスリストに名前を付ける)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123 ... (アクセスリストの確認)
    IPv4 access list 123
        10 permit host 192.168.1.1
        20 deny any
    Yamaha#
    
  2. LANポート #1アクセスリスト #123 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 123 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : IPv4 access group 123 in
    


■ネットワーク指定

LANポート #1 に対して、ネットワーク: 192.168.1.0/24 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を IPV4-ACL-EX を追加します。

  1. アクセスリスト #123 を生成し、確認します。
    Yamaha(config)#access-list 123 permit 192.168.1.0 0.0.0.255   ... (アクセスリストの生成)
    Yamaha(config)#access-list 123 deny any
    Yamaha(config)#access-list 123 description IPV4-ACL-EX        ... (アクセスリストに名前を付ける)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show ip access-list  ... (ACLの確認)
    IPv4 access list 123
        10 permit 192.168.1.0/24
        20 deny any
    Yamaha#
    
  2. LANポート #1アクセスリスト #123 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 123 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : IPv4 access group 123 in
    


5.2 IPv6アクセスリストの設定

■ホスト指定

LANポート #1 に対して、ホスト: 2001:db8::1 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの名前を IPV6-ACL-EX とします。

  1. アクセスリスト #3001 を生成し、確認します。
    Yamaha(config)#access-list 3001 permit 2001:db8::1/128  ... (アクセスリストの生成)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#access-list 3001 description IPV6-ACL-EX ... (アクセスリストに名前を付ける)
    Yamaha(config)#end
    
    Yamaha# show access-list 3001 ... (アクセスリストの確認)
    IPv6 access list 3001
        10 permit 2001:db8::1/128
        20 deny any
    
  2. LANポート #1アクセスリスト #3001 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 3000 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : IPv6 access group 3001 in
    


■ネットワーク指定

LANポート #1 に対して、ネットワーク: 2001:db8::/64 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの名前を IPV6-ACL-EX とします。

  1. アクセスリスト #3001 を生成し、確認します。
    Yamaha(config)#access-list 3001 permit 2001:db8::/64     ... (アクセスリストの生成)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#access-list 3001 description IPV6-ACL-EX  ... (アクセスリストに名前を付ける)
    Yamaha(config)#end
    
    Yamaha# show access-list 3001 ... (アクセスリストの確認)
    IPv6 access list 3001
        10 permit 2001:db8::/64
        20 deny any
    
  2. LANポート #1アクセスリスト #3001 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 3001 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : IPv6 access group 3001 in
    


5.3 MACアクセスリストの設定

■ホスト指定

LANポート #1 に対して、ホスト: 00-A0-DE-12-34-56 からのアクセスのみ拒否し、それ以外を許可します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの名前を MAC-ACL-EX を追加します。

  1. アクセスリスト #2001 を生成し、確認します。
    Yamaha(config)#access-list 2001 deny host 00a0.de12.3456  ... (アクセスリストの生成)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX    ... (アクセスリストの名前の設定)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 2001 ... (アクセスリストの確認)
    MAC access list 2001
        10 deny host 00A0.DE12.3456
    
  2. LANポート #1アクセスリスト #2001 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 2001 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : MAC access group 2001 in
    


■ベンダー指定

LANポート #1 に対して、ベンダーコード: 00-A0-DE-*-*-* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのアクセスのみ拒否し、それ以外を許可します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの名前を MAC-ACL-EX を追加します。

  1. アクセスリスト #2001 を生成し、確認します。
    Yamaha(config)#access-list 2001 deny 00a0.de00.0000 0000.00ff.ffff  ... (アクセスリストの生成)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX              ... (アクセスリストの名前の設定)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 2001 ... (アクセスリストの確認)
    MAC access list 2001
        10 deny 00A0.DE00.0000 0000.00FF.FFFF
    
  2. LANポート #1アクセスリスト #2001 を適用します。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 2001 in  ... (アクセスリストの適用)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group  ... (アクセスリストの設定確認)
    Interface port1.1 : MAC access group 2001 in
    



6 注意事項


7 関連文書


トップへ戻る