アクセスリスト(ACL)とは、フレームの許可・拒否を決めるための条件文のことです。
インターフェースに対してアクセスリストを適用すると、許可したフレームのみを転送し、拒否したフレームを破棄します。
これにより、特定のフレームのみを転送対象とすることができるため、主にセキュリティを確保するために使用されます。
本L2スイッチでは、アクセスリストとして下表に示す4種類をサポートします。
アクセスリストの 種類 |
判断基準 | アクセスリストID | 用 途 |
---|---|---|---|
標準IPv4 アクセスリスト |
送信元IPv4アドレス | 1~99 1300~1999 |
特定のホスト、ネットワークからのアクセスをフィルタリングします。 |
拡張IPv4 アクセスリスト |
送信元IPv4アドレス 宛先IPv4アドレス IPプロトコル種別 |
100~199 2000~2699 |
ホストやネットワークだけでなく、TCP/UDPなどのIPプロトコル種別を特定してフィルタリングします。 |
IPv6 アクセスリスト |
送信元IPv6アドレス | 3000~3699 | 特定のホスト、ネットワークからのアクセスをフィルタリングします。 |
MAC アクセスリスト |
送信元MACアドレス 宛先MACアドレス |
100~199 2000~2699 |
特定のデバイスからのアクセス、転送に対してフィルタリングします。 |
Access Control List の略。
指定したIPv4アドレス, MACアドレスのどこを読み取るかを指定した情報です。ACLの条件で IPv4アドレス, MACアドレスの範囲を指定する際に使用 します。
ワイルドカードマスクを使用した設定例を以下に示します。 (下線部分がワイルドカードマスク)
アクセスリストは、各アクセスリストのID数の分、生成することができます。 ( 1 機能概要 の表を参照ください)
アクセスリストは、1つのリストに対して制御条件を 最大で39件 登録することができます。
ただし、登録した制御条件を満たさなかった場合の動作として、 "すべてを破棄する" 条件が自動で付加されます。(これを 暗黙の拒否 といいます)
本L2スイッチの入力 (in) / 出力 (out) インターフェースに対するアクセスリストの適用状況は、下表のようになっています。
なお、インターフェースに対して適用可能なアクセスリストは、in / out それぞれに対して 1つ となっています。
アクセスリストの 種類 | LAN/SFPポート | VLANインターフェース | スタティック/LACP 論理インターフェース |
|||
---|---|---|---|---|---|---|
in | out | in | out | in | out | |
標準IPv4アクセスリスト | ○ | ○ | ○ | × | × | × |
拡張IPv4アクセスリスト | ○ | ○(*) | ○ | × | × | × |
IPv6アクセスリスト | ○ | ○ | ○ | × | × | × |
MACアクセスリスト | ○ | × | ○ | × | × | × |
(*)制約事項として、ポート番号範囲を指定した拡張IPv4アクセスリストは、インターフェースの出力 (out) 側に適用できません。
インターフェースに適用できるアクセスリストの数は、アクセスリストに登録されている制御条件の数に依存します。
本L2スイッチでは、インターフェースに対して制御条件を 最大で512個 登録することができます。
インターフェースにアクセスリストを適用させると "アクセスリストに登録されている制御条件の数だけ" リソースを消費します。
ただし、システム内部でも制御条件を使用する場合があり、この時もリソースを消費します。
LAN/SFPポートにアクセスリストを適用させる場合の手順について、以下に示します。
以下に操作コマンドの一覧を示します。
アクセスリストの 種類 |
アクセスリストの 生成 |
アクセスリストの 確認 |
アクセスリストの 適用 |
適用アクセスリストの 確認 |
---|---|---|---|---|
標準IPv4アクセスリスト | access-list | show ip access-list | ip access-group | show running-config access-list |
拡張IPv4アクセスリスト | access-list | show ip access-list | ip access-group | show running-config access-list |
IPv6アクセスリスト | access-list | show ipv6 access-list | ip access-group | show running-config access-list |
MACアクセスリスト | access-list | show mac access-list | mac access-group | show running-config access-list |
VLANインターフェースにアクセスリストを適用させる場合の手順について、以下に示します。
1. 2. の操作については、3.3 に示した操作と同じになります。
以下に 3. 以降の操作コマンドの一覧を示します。
アクセスリストの 種類 |
VLANアクセスマップの 生成 |
VLANアクセスマップへの アクセスリストの設定 |
VLANアクセスマップ 確認 |
VLANアクセスマップの 適用 |
適用した VLANアクセスマップの 確認 |
---|---|---|---|---|---|
標準IPv4アクセスリスト | vlan access-map | match ip access-list | show vlan access-map | vlan filter | show vlan filter |
拡張IPv4アクセスリスト | vlan access-map | match ip access-list | show vlan access-map | vlan filter | show vlan filter |
IPv6アクセスリスト | vlan access-map | match ip access-list | show vlan access-map | vlan filter | show vlan filter |
MACアクセスリスト | vlan access-map | match mac access-list | show vlan access-map | vlan filter | show vlan filter |
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
操作項目 | 操作コマンド |
---|---|
標準IPv4アクセスリストの生成 | access-list |
標準IPv4アクセスリストのコメント追加 | access-list remark |
標準IPv4アクセスリストの適用 | ip access-group |
拡張IPv4アクセスリストの生成 | access-list |
拡張IPv4アクセスリストのコメント追加 | access-list remark |
拡張IPv4アクセスリストの適用 | ip access-group |
IPv6アクセスリストの生成 | access-list |
IPv6アクセスリストのコメント追加 | access-list remark |
IPv6アクセスリストの適用 | ip access-group |
MACアクセスリストの生成 | access-list |
MACアクセスリストのコメント追加 | access-list remark |
MACアクセスリストの適用 | mac access-group |
生成した標準IPv4アクセスリストの表示 | show ip access-list |
生成した拡張IPv4アクセスリストの表示 | show ip access-list |
生成したIPv6アクセスリストの表示 | show ipv6 access-list |
生成したMACアクセスリストの表示 | show mac access-list |
生成した全アクセスリストの表示 | show access-list |
インターフェースに適用したアクセスリストの表示 | show access-group |
■ホスト指定
LANポート #1 に対して、ホスト: 192.168.1.1 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #2 とし、アクセスリストの名前を STD-ACL-EX とします。
L2SW(config)#access-list 2 permit host 192.168.1.1 ... (アクセスリストの生成) L2SW(config)#access-list 2 remark STD-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Standard IP access list 2 permit 192.168.1.1
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 2 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IP access group 2 in
■ネットワーク指定
LANポート #1 に対して、ネットワーク: 192.168.1.0/24 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #2 とし、アクセスリストの名前を STD-ACL-EX とします。
L2SW(config)#access-list 2 permit 192.168.1.0 0.0.0.255 ... (アクセスリストの生成) L2SW(config)#access-list 2 remark STD-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Standard IP access list 2 permit 192.168.1.0, wildcard bits 0.0.0.255
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 2 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IP access group 2 in
■ホスト指定
VLAN #1000 に対して、ホスト: 192.168.1.1 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #2 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #2 を設定します。
L2SW(config)#access-list 2 permit host 192.168.1.1 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Standard IP access list 2 permit 192.168.1.1
L2SW(config)#vlan access-map VAM-001 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 2 ... (アクセスリストの設定) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-001 match ip access-list 2
L2SW(config)#vlan filter VAM-001 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-001 is applied to vlan 1000
■ネットワーク指定
VLAN #1000 に対して、ネットワーク: 192.168.1.0/24 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #2 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #2 を設定します。
L2SW(config)#access-list 2 permit 192.168.1.0 0.0.0.255 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Standard IP access list 2 permit 192.168.1.0, wildcard bits 0.0.0.255
L2SW(config)#vlan access-map VAM-001 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 2 ... (アクセスリストの設定) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-001 match ip access-list 2
L2SW(config)#vlan filter VAM-001 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-001 is applied to vlan 1000
■ホスト指定
LANポート #1 に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスを許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を EXT-ACL-EX を追加します。
L2SW(config)#access-list 123 permit any host 192.168.1.1 host 10.1.1.1 ... (アクセスリストの生成) L2SW(config)#access-list 123 remark EXT-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Extended IP access list 123 permit any host 192.168.1.1 host 10.1.1.1 L2SW#
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 123 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IP access group 123 in
■ネットワーク指定
LANポート #1 に対して、ネットワーク: 192.168.1.0/24 から ホスト: 10.1.1.1 へのアクセスを許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を EXT-ACL-EX を追加します。
L2SW(config)#access-list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1 ... (アクセスリストの生成) L2SW(config)#access-list 123 remark EXT-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# L2SW#show ip access-list ... (ACLの確認) Extended IP access list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1 L2SW#
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 123 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IP access group 123 in
■ホスト指定
VLAN #1000 に対して、ホスト: 192.168.1.1 から ホスト: 10.1.1.1 へのアクセスを許可するように設定します。
使用するアクセスリストのIDは、 #123 とします。
使用するVLANアクセスマップは、 VAM-002 とし、 アクセスリスト #123 を設定します。
L2SW(config)#access-list 123 permit any host 192.168.1.1 host 10.1.1.1 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Extended IP access list 123 permit any host 192.168.1.1 host 10.1.1.1
L2SW(config)#vlan access-map VAM-002 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 123 ... (アクセスリストの登録) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-002 match ip access-list 123
L2SW(config)#vlan filter VAM-002 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-002 is applied to vlan 1000
■ネットワーク指定
VLAN #1000 に対して、ネットワーク: 192.168.1.0/24 から ホスト: 10.1.1.1 へのアクセスを許可するように設定します。
使用するアクセスリストのIDは、 #123 とします。
使用するVLANアクセスマップは、 VAM-002 とし、 アクセスリスト #123 を設定します。
L2SW(config)#access-list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ip access-list ... (アクセスリストの確認) Extended IP access list 123 permit any 192.168.1.0 0.0.0.255 host 10.1.1.1
L2SW(config)#vlan access-map VAM-002 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 123 ... (アクセスリストの登録) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-002 match ip access-list 123
L2SW(config)#vlan filter VAM-002 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-002 is applied to vlan 1000
■ホスト指定
LANポート #1 に対して、ホスト: 2001:db8::1 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #3000 とし、アクセスリストの名前を IPV6-ACL-EX とします。
L2SW(config)#access-list 3000 permit 2001:db8::1/128 ... (アクセスリストの生成) L2SW(config)#access-list 3000 remark IPV6-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# show ipv6 access-list ... (アクセスリストの確認) IPv6 access list 3000 permit 2001:db8::1/128
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 3000 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IPv6 access group 3000 in
■ネットワーク指定
LANポート #1 に対して、ネットワーク: 2001:db8::/64 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #3000 とし、アクセスリストの名前を IPV6-ACL-EX とします。
L2SW(config)#access-list 3000 permit 2001:db8::/64 ... (アクセスリストの生成) L2SW(config)#access-list 3000 remark IPV6-ACL-EX ... (アクセスリストに名前を付ける) L2SW(config)#end L2SW# show ipv6 access-list ... (アクセスリストの確認) IPv6 access list 3000 permit 2001:db8::/64
L2SW(config)#interface ge1 L2SW(config-if)#ip access-group 3000 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : IPv6 access group 3000 in
■ホスト指定
VLAN #1000 に対して、ホスト: 2001:db8::1 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #3000 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #3000 を設定します。
L2SW(config)#access-list 3000 permit 2001:db8::1/128 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ipv6 access-list ... (アクセスリストの確認) IPv6 access list 3000 permit 2001:db8::1/128
L2SW(config)#vlan access-map VAM-001 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 3000 ... (アクセスリストの設定) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-001 match ip access-list 3000
L2SW(config)#vlan filter VAM-001 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-001 is applied to vlan 1000
■ネットワーク指定
VLAN #1000 に対して、ネットワーク: 2001:db8::/64 からのフレームのみを受信するように設定します。
使用するアクセスリストのIDは、 #3000 とします。
使用するVLANアクセスマップは、 VAM-001 とし、 アクセスリスト #3000 を設定します。
L2SW(config)#access-list 3000 permit 2001:db8::/64 ... (アクセスリストの生成) L2SW(config)#end L2SW# L2SW#show ipv6 access-list ... (アクセスリストの確認) IPv6 access list 3000 permit 2001:db8::/64
L2SW(config)#vlan access-map VAM-001 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)#match ip access-list 3000 ... (アクセスリストの設定) L2SW(config-vlan-access-map)#end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-001 match ip access-list 3000
L2SW(config)#vlan filter VAM-001 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-001 is applied to vlan 1000
■ホスト指定
LANポート #1 に対して、ホスト: 00-A0-DE-12-34-56 からのフレームを破棄し、それ以外を許可します。
使用するアクセスリストのIDは、 #2000 とし、アクセスリストの名前を MAC-ACL-EX を追加します。
L2SW(config)#access-list 2000 deny mac host 00a0.de12.3456 any ... (アクセスリストの生成) L2SW(config)#access-list 2000 permit mac any any L2SW(config)#access-list 2000 remark MAC-ACL-EX ... (アクセスリストの名前の設定) L2SW(config)#end L2SW# L2SW#show mac access-list ... (アクセスリストの確認) Extended MAC-ACCESS-LIST: 2000 deny mac host 00A0.DE12.3456 any permit mac any any
L2SW(config)#interface ge1 L2SW(config-if)#mac access-group 2000 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : MAC access group 2000 in
■ベンダー指定
LANポート #1 に対して、ベンダーコード: 00-A0-DE-*-*-* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのフレームを破棄し、それ以外を許可します。
使用するアクセスリストのIDは、 #2000 とし、アクセスリストの名前を MAC-ACL-EX を追加します。
L2SW(config)#access-list 2000 deny mac 00a0.de00.0000 0000.00ff.ffff any ... (アクセスリストの生成) L2SW(config)#access-list 2000 permit mac any any L2SW(config)#access-list 2000 remark MAC-ACL-EX ... (アクセスリストの名前の設定) L2SW(config)#end L2SW# L2SW#show mac access-list ... (アクセスリストの確認) Extended MAC-ACCESS-LIST: 2000 deny mac 00A0.DE00.0000 0000.00FF.FFFF any permit mac any any
L2SW(config)#interface ge1 L2SW(config-if)#mac access-group 2000 in ... (アクセスリストの適用) L2SW(config-if)#end L2SW# L2SW#show access-group ... (アクセスリストの設定確認) Interface ge1 : MAC access group 2000 in
■ホスト指定
VLAN #1000 に対して、ホスト: 00-A0-DE-12-34-56 からのフレームを破棄し、それ以外を許可します。
使用するアクセスリストのIDは、 #2000 とします。アクセスリストの名前は MAC-ACL-EX とします。
使用するVLANアクセスマップは、 VAM-003 とし、 アクセスリスト #2000 を設定します。
L2SW(config)#access-list 2000 deny mac host 00a0.de12.3456 any ... (アクセスリスト #2000 の生成) L2SW(config)#access-list 2000 permit mac any any L2SW(config)#access-list 2000 remark MAC-ACL-EX ... (アクセスリストの名前の設定) L2SW(config)#end L2SW# L2SW#show mac access-list ... (アクセスリストの確認) Extended MAC-ACCESS-LIST: 2000 deny mac host 00A0.DE12.3456 any permit mac any any
L2SW(config)# vlan access-map VAM-003 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)# match mac access-list 2000 ... (アクセスリストの登録) L2SW(config-vlan-access-map)# end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-003 match ip access-list 2000
L2SW(config)#vlan filter VAM-003 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-003 is applied to vlan 1000
■ベンダー指定
VLAN #1000 に対して、ベンダーコード: 00-A0-DE-*-*-* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのフレームを破棄し、それ以外を許可します。
使用するアクセスリストのIDは、 #2000 とします。アクセスリストの名前は MAC-ACL-EX とします。
使用するVLANアクセスマップは、 VAM-003 とし、 アクセスリスト #2000 を設定します。
L2SW(config)#access-list 2000 deny mac 00a0.de00.0000 0000.00ff.ffff any ... (アクセスリスト #2000 の生成) L2SW(config)#access-list 2000 permit mac any any L2SW(config)#access-list 2000 remark MAC-ACL-EX ... (アクセスリストの名前の設定) L2SW(config)#end L2SW# L2SW#show mac access-list ... (アクセスリストの確認) Extended MAC-ACCESS-LIST: 2000 deny mac 00A0.DE00.0000 0000.00FF.FFFF any permit mac any any
L2SW(config)# vlan access-map VAM-003 ... (VLANアクセスマップの生成) L2SW(config-vlan-access-map)# match mac access-list 2000 ... (アクセスリストの登録) L2SW(config-vlan-access-map)# end L2SW# L2SW#show vlan access-map ... (VLANアクセスマップとアクセスリストの設定を確認) VLAN-ACCESS-MAP: VAM-003 match ip access-list 2000
L2SW(config)#vlan filter VAM-003 1000 ... (VLANにVLANアクセスマップを適用) L2SW(config)#end L2SW# L2SW#show vlan filter ... (VLANアクセスマップの設定確認) Vlan Filter VAM-003 is applied to vlan 1000
特になし