トラフィック制御 / アクセスリスト

アクセスリストの種類と用途
コマンド形式(シーケンス番号対応)
アクセスリストの作成
標準IPアクセスリスト
番号付き標準IPアクセスリスト
名前付き標準IPアクセスリスト
ハードウェアアクセスリスト
ハードウェアIPアクセスリスト
ハードウェアMACアクセスリスト
アクセスリストの使用
標準IPアクセスリスト
標準IPv6アクセスリスト
ハードウェアアクセスリスト

アクセスリストは、MACアドレス、IPアドレスなどのアドレス情報に基づいてパケットやトラフィック、アプリケーションセッション、経路エントリーなどを分類・識別し、分類後の処理を指定したり、設定対象IPアドレスを範囲指定したりするための汎用的な仕組みです。

本解説編では、アクセスリストの種類と用途について述べた後、アクセスリストの基本的な作成方法について解説します。

なお、アクセスリスト自体は基本的に分類・識別条件を定義するだけなので、単体では意味をなさず、他の機能と組み合わせて初めて効果を発揮しますが、本解説編では作成したアクセスリストの使用方法については軽く触れるだけにします。各機能におけるアクセスリストの具体的な使用方法については、該当機能の解説編やコマンドリファレンス編をご参照ください。

アクセスリストの種類と用途

 アクセスリストには、大きく分けて「標準IPアクセスリスト」、「標準IPv6アクセスリスト」、「ハードウェアアクセスリスト」の3種類があります。

次に示すように、これらはそれぞれ用途が分かれています。したがって、用途が決まれば使用すべきアクセスリストの種類も自動的に決まります。

表 1:アクセスリストの種類と用途
アクセスリストの種類
アクセスリストを利用する機能
用途
標準IPアクセスリスト SNMP SNMPコミュニティーへのアクセス制御
IGMP 参加可能なマルチキャストグループの制限
標準IPv6アクセスリスト MLD Snooping 参加可能なマルチキャストグループの制限
各種機能の設定対象となるマルチキャストグループの指定
ハードウェアアクセスリスト ハードウェアパケットフィルター 受信スイッチポートにおけるパケットフィルタリング
Quality of Service(QoS) 受信スイッチポートにおけるトラフィック分類


Note - 標準IPアクセスリスト、標準IPv6アクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。

Note - SNMPアクセス制御を使用するとき、アクセスリストのDenyアクションが動作しません。

Note - 本製品でAMFとアクセスリストを併用する場合、AMFマネージメントサブネット(atmf management subnet)内の通信を許可するようにしてください。

なお実際には、標準IPv6アクセスリストを除く2種類は、識別子(ID)として番号、文字列のどちらを使うか、あるいは、分類条件としてEthernetヘッダー、IPヘッダー、IPv6ヘッダー以降のどれを使うかなどの違いによって、さらにそれぞれ小分類することができます。したがって、厳密にはアクセスリストの種類は次の5つとなります。

表 2:アクセスリストの種類と識別子および設定コマンド
アクセスリストの種類
識別子
設定コマンド
標準IPアクセスリスト
番号付き標準IPアクセスリスト 1〜99、1300〜1999 access-list(standard)コマンド
名前付き標準IPアクセスリスト 名前(文字列) access-list standardコマンド
標準IPv6アクセスリスト
名前付き標準IPv6アクセスリスト 名前(文字列) ipv6 access-list standardコマンド
ハードウェアアクセスリスト
ハードウェアIPアクセスリスト 3000〜3699 access-list(hardware ip)コマンド
ハードウェアMACアクセスリスト 4000〜4699 access-list(hardware mac)コマンド


コマンド形式(シーケンス番号対応)

 アクセスリストのコマンドの形式には2種類あります。


アクセスリストの種類ごとに、以下のように、両方の形式のためのコマンドが用意されています。

表 3:コマンド形式(シーケンス番号対応)
アクセスリストの種類
逐次指定
サブモード指定(シーケンス番号対応)
標準IPアクセスリスト
番号付き標準IPアクセスリスト access-list(standard)コマンド access-list(standard)(list)コマンド、access-list(standard)(seq entry)コマンド
名前付き標準IPアクセスリスト access-list standardコマンド access-list standard(list)コマンド、access-list standard(seq entry)コマンド
標準IPv6アクセスリスト
名前付き標準IPv6アクセスリスト ipv6 access-list standardコマンド ipv6 access-list standard(list)コマンド、ipv6 access-list standard(seq entry)コマンド
ハードウェアアクセスリスト
ハードウェアIPアクセスリスト access-list(hardware ip)コマンド access-list hardware(list)コマンド、access-list hardware(seq entry)コマンド
ハードウェアMACアクセスリスト access-list(hardware mac)コマンド access-list hardware(list)コマンド、access-list hardware(seq entry)コマンド


以下の説明では、逐次指定のコマンド形式を使用します。

アクセスリストの作成

 以下では、アクセスリストの種類ごとに、その概要と作成方法について説明します。

標準IPアクセスリスト

 標準IPアクセスリストは、IPアドレスを1つだけ指定できるアクセスリストです。
始点IPアドレスに基づいて、本装置上のサービス(SNMPなど)に対するアクセスを制御する場合に使用します。

Note - 標準IPアクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。

標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

標準IPアクセスリストには、各リストを番号で識別するタイプと名前で識別するタイプがあり、それぞれ以下のコマンドで設定を行います。


両者は分類条件の指定方法が若干異なるだけで、アクセスリストを使用する各機能においてはどちらもほぼ同じように使用できます。ただし、機能によってはどちらか一方しか使えないものもありますので、詳細は各機能の解説編やコマンドリファレンス編で確認してください。

以下では、標準IPアクセスリストの作成方法について解説します。

番号付き標準IPアクセスリスト

 番号で識別するタイプの標準IPアクセスリストを作成するには、access-list(standard)コマンドを使います。標準IPアクセスリストには、1〜99、および、1300〜1999の範囲の番号を使います。

番号付き標準IPアクセスリストでは、通常始点IPアドレスに対してのみマッチングを行います。このとき、ワイルドカードマスク(リバースマスクまたはORマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 番号付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。


名前付き標準IPアクセスリスト

 名前で識別するタイプの標準IPアクセスリストを作成するには、access-list standardコマンドを使います。

名前付き標準IPアクセスリストでは、通常始点IPアドレスに対してのみマッチングを行います。このとき、マスク長(ANDマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 名前付き標準IPアクセスリストにはexact-matchというオプションがありますが、これは経路エントリーを対象とするときだけ意味を持つオプションなので、ここでは触れません。

Note - 名前付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。



ハードウェアアクセスリスト

 ハードウェアアクセスリストは、本製品のスイッチングチップ(ASIC)でパケットフィルタリングやトラフィック分類を行うためのアクセスリストです。

ハードウェアアクセスリストでは、パケットヘッダー内の各種フィールドを検査してパケットを分類し、分類したパケットに対しては、許可、破棄だけでなく、パケットのコピーをミラーポートから出力するなどの各種処理を行うことができます。

ハードウェアアクセスリストは、これまで説明してきた他のアクセスリストとは違って、エントリーを1つしか持てません。すなわち、ハードウェアアクセスリストは「リスト」という名を持ってはいますが、実際にはリストではなく単一のエントリーということになります。したがって、ハードウェアアクセスリストには、他のアクセスリストにある「暗黙のdenyエントリー」は存在しません。

ハードウェアアクセスリストを用いてトラフィックの制御を行うときは、複数のハードウェアアクセスリスト(つまりエントリー)をスイッチポート(ハードウェアパケットフィルター)、あるいは、ポリシーマップ(QoSポリシー)に順序立てて関連付けることで、実際のリストを構成します。

ハードウェアアクセスリストには、IPヘッダー以降をマッチング対象にするものと、Ethernetヘッダーだけをマッチング対象にするものがあり、それぞれ以下のコマンドで設定を行います。


これらは使用できる分類条件が異なるだけで、トラフィックを制御する各機能においてはどちらもほぼ同じように、混在して使用できます。

以下では、ハードウェアアクセスリストを用いてトラフィックを分類する方法について解説します。

なお、ハードウェアアクセスリストを使って経路エントリーの分類・識別や制御を行うことはできません。

ハードウェアIPアクセスリスト

 ハードウェアIPアクセスリストを作成するには、access-list(hardware ip)コマンドを使います。

ハードウェアIPアクセスリストでは、通常始点IPアドレスと終点IPアドレスに対してマッチングを行います。このとき、マスク長(ANDマスクともいう)やワイルドカードマスク(リバースマスクまたはORマスクともいう)を使うことで、柔軟なアドレス指定が可能です。また、TCP/UDPパケットに対しては終点・始点のポート番号を、ICMPパケットに対してはメッセージタイプを指定することもできます。次にいくつか例を示します。

Note - ハードウェアIPアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。


ハードウェアMACアクセスリスト

 ハードウェアMACアクセスリストを作成するには、access-list(hardware mac)コマンドを使います。

ハードウェアMACアクセスリストでは、送信元MACアドレスと宛先MACアドレスに対してマッチングを行います。このとき、ワイルドカードマスク(リバースマスクまたはORマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - ハードウェアMACアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。

Note - ハードウェアMACアクセスリストを設定しても、ハードウェアパケットフィルターではARPブロードキャスト(宛先MACアドレス ffff.ffff.ffff、プロトコルタイプ 0x0806)が破棄されません。ARPブロードキャストを破棄するにはポリシーマップを使用してください。


アクセスリストの使用

 作成したアクセスリストは、以下の機能/コマンドから使用できます。


標準IPアクセスリスト

 標準IPアクセスリストを利用したアクセス制御関連の機能としては、以下のものがあります。


■ SNMPの詳細については、「運用・管理」の「SNMP」をご覧ください。

標準IPv6アクセスリスト

 標準IPv6アクセスリストを利用したアクセス制御関連の機能としては、以下のものがあります。


また、各種アドレスの指定に標準IPv6アクセスリストを使う機能としては、以下のものがあります。



■ MLD Snoopingの詳細については、「IPv6マルチキャスト」の「MLD Snooping」をご覧ください。

ハードウェアアクセスリスト

 ハードウェアアクセスリストは、次の機能で使用します。


■ ハードウェアパケットフィルターの詳細については、「トラフィック制御」の「ハードウェアパケットフィルター」をご覧ください。

■ Quality of Service(QoS)の詳細については、「トラフィック制御」の「Quality of Service」をご覧ください。

(C) 2016 アライドテレシスホールディングス株式会社

PN: 613-002350 Rev.C