画面リファレンス / ネットワークサービス / ACLユーティリティー

ACLマトリックス
ホストグループ サイドリスト
ポートグループ サイドリスト
アクセスリスト サイドパネル

ACLユーティリティーは、ネットワーク上のAlliedWare Plusデバイスに設定されたACL(アクセスコントロールリスト)を管理します。
AVM EXメニューから「ACLユーティリティー」を選択すると、次の画面が表示されます。


ACLマトリックス

ACLマトリックスは、ネットワーク上のAlliedWare Plusデバイスに設定されたACLを視覚的に表現したものです。
ACLマトリックスに表示対象となるのは、ACLグループ(ホストグループ/ポートグループ)を指定したハードウェアIPアクセスリスト、ハードウェアIPv6アクセスリストです。
ホストグループを使用しない場合はそれぞれのネットワークアドレスに対して個別にアクセスリストエントリーを作成する必要がありますが、ホストグループを作成して始点、終点の指定に用いることで、アクセスリストエントリーの設定の入力工数を短縮できます。特に、始点、終点に設定するアドレスやポートの数が多いほど、その効果は大きくなります。
Note
ACLマトリックスでは、ハードウェアアクセスリストの作成は未サポートです。CLIから設定を行う必要があります。
Note
ACLマトリックスでは、ハードウェアMACアクセスリストは未サポートです。
Note
アカウントタイプが「一般ユーザー」のアカウントでは、ユーザーが読み取り権限を持つデバイスに登録されたアクセスリストのみが表示の対象となります。


■ 表示1

表 1:ACLマトリックス ヘッダー
項目名
説明
ホストグループ ネットワーク上のAlliedWare Plusデバイスに設定されたホストグループを、サイドパネルに表示します。
ポートグループ ネットワーク上のAlliedWare Plusデバイスに設定されたポートグループを、サイドパネルに表示します。
ACLでフィルター 指定したハードウェアACLに登録されたエントリーのみがマトリックスに表示されます。
ポートグループでフィルター 指定されたポートグループを使用するエントリーのみがマトリックスに表示されます。
凡例
 始点から終点へのトラフィックを許可または拒否するACLエントリーが存在する場合の交点の色を表します。
  • 赤色:このホストグループの組み合わせを指定した拒否(deny)エントリーが存在します。
  • 緑色:このホストグループの組み合わせを指定した許可(permit)エントリーが存在します。
  • 青色:このホストグループの組み合わせを指定した拒否(deny)、許可(permit)の両方のエントリーが存在します。
  • 黄色:このホストグループの組み合わせを指定した、拒否(deny)または許可(permit)以外のエントリーのみが存在します。
  • 灰色:このホストグループの組み合わせを指定したエントリーは登録されていません。


■ 表示2
ACLマトリックスの本体です。
マトリックスの縦軸には始点ホストグループ、横軸には終点ホストグループを表示します。
始点と終点の交わる升目は、別記の凡例に示す状態を色で表します。クリックすると、該当の始点ホストグループから終点ホストグループへのトラフィックに設定されたACLの詳細がサイドパネルに表示されます。
始点ホストグループ「Human_Resources」から終点ホストグループ「Data_Center」へのトラフィックに対するアクセスリストの設定状態の例を表します。

この例では、始点ホストグループ「Human_Resources」から終点ホストグループ「Data_Center」へのトラフィックは青色の升目で表示されています。これは、拒否と許可の両方のACLエントリーが設定されていることを示します。
サイドパネルで設定されたフィルターエントリーを確認すると、IPv4パケットは通常転送を許可していますが、ポートグループ「SSH」のTCPパケットは破棄されるよう設定されています。

別途「ポートグループ」ボタンからネットワーク上のデバイスに設定されたポートグループを確認すると、ポートグループ「SSH」には「22と等しい(eq)」が指定されており、Secure Shell(SSH)パケットのみが遮断されるよう設定されていることがわかります。


また、始点/終点ホストグループのヘッダーをクリックした場合、画面上部の「ホストグループ」ボタンをクリックしたときと同様、ホストグループサイドパネルが表示されます。

ホストグループ サイドリスト

ネットワーク上のデバイスに設定されたすべてのホストグループエントリーを表示します。

ホストグループは、1つまたは複数のホストのネットワークアドレス(IPv4/IPv6アドレスとサブネットマスク)をまとめたものです。
各ホストグループ名とIPv4/v6アドレス、サブネットマスク、適用先を表示します。

また、サイドパネル上部の「適用先を表示」チェックボックスにチェックをつけると、登録されたすべてのホストグループの適用先を展開表示します。


ポートグループ サイドリスト

ネットワーク上のデバイスに設定されたすべてのポートグループエントリーを表示します。

ポートグループは、1つまたは複数のTCP/UDPポート番号の定義をまとめたものです。
各ポートグループ名とポートの定義、適用先を表示します。
ポートの定義には、次の形があります。
また、サイドパネル上部の「適用先を表示」チェックボックスにチェックをつけると、登録されたすべてのポートグループの適用先を展開表示します。

アクセスリスト サイドパネル

ACLマトリックスにて、始点/終点ホストグループの交わる升目をクリックすると、該当の始点/終点を指定したアクセスリストエントリーが表示されます。

表 2:アクセスリスト サイドパネル
項目名
説明
ヘッダー
フィルター詳細を表示 指定した始点/終点と一致するアクセスリストエントリーの詳細をすべて展開表示します。
全フィルターを表示 指定した始点/終点と一致するアクセスリストエントリーを含むハードウェアアクセスリスト内のすべてのアクセスリストエントリーを表示します。指定した始点/終点と一致しないものは淡色表示されます。
適用先を表示 指定した始点/終点と一致するハードウェアアクセスリストの適用先を展開表示します。
アクセスリストエントリー
アクセスリスト名 指定した始点/終点と一致するエントリーを含むハードウェアアクセスリスト名を表示します。
アクセスリストエントリー
 ハードウェアアクセスリストに含まれるエントリーのアクション、プロトコルタイプを概要表示します。
  • アクション:
    条件に合致した場合のアクションを表示します。
    • 破棄(deny):
      パケットを破棄します。
    • 通常転送(permit):
      パケットを許可(通常転送)します。
    • 破棄+CPUにコピー(send-to-cpu):
      パケットを破棄したうえで、パケットのコピーをCPUにだけ転送します。
    • 通常転送+CPUにコピー(copy-to-cpu):
      パケットを許可(通常転送)したうえで、パケットのコピーをCPUにも転送します。
    • 破棄+ミラーポートにコピー(send-to-mirror):
      パケットを破棄したうえで、パケットのコピーをあらかじめ設定したミラーポートにだけ出力します。
    • 通常転送+ミラーポートにコピー(copy-to-mirror):
      パケットを許可(通常転送)したうえで、パケットのコピーをあらかじめ設定したミラーポートにも出力します。
    • 指定ポート/所属VLANに転送(send-to-vlan-port):
      指定したポート(および所属VLAN)に転送します。
    破棄は赤色、通常転送は緑色、その他のアクションは黄色で表示されます。
  • プロトコルタイプ:
    対象とするパケットのプロトコルタイプを灰色の表示で表します。
    IP(上位プロトコルタイプを気にせず、すべてのIPパケットを対象)、TCP、UDP、IMCPと、特定の上位プロトコルタイプ(IPヘッダーのプロトコルタイプフィールドの値)があります。
    TCP/UDPのいずれかを指定した場合のみ、始点ポートグループ、終点ポートグループの指定を伴う場合があります(両方、または指定しない場合もあります)。
行をクリックすると、アクセスリストエントリーの詳細が展開表示されます。
  • 始点IPグループ:
    始点ホストグループ名を表示します。
  • 始点ポート:
    始点ポートグループ名を表示します。
  • 終点IPグループ:
    終点ホストグループ名を表示します。
  • 終点ポート:
    終点ポートグループ名を表示します。
適用先
 適用先デバイス数を表示します。
行をクリックすると、ハードウェアアクセスリストが適用されたAMFデバイス名、アクティブインターフェース名(適用中の場合)が表示されます。



(C) 2021-2022 アライドテレシスホールディングス株式会社

PN: 613-002979 Rev.E