[index] CentreCOM x210シリーズコマンドリファレンス 5.4.3

トラフィック制御 / アクセスリスト

アクセスリストの種類と用途

コマンド形式（シーケンス番号対応）

アクセスリストの作成

アクセスリストは、MACアドレス、IPアドレスなどのアドレス情報に基づいてパケットやトラフィック、アプリケーションセッション、経路エントリーなどを分類・識別し、分類後の処理を指定したり、設定対象IPアドレスを範囲指定したりするための汎用的な仕組みです。

本解説編では、アクセスリストの種類と用途について述べた後、アクセスリストの基本的な作成方法について解説します。

なお、アクセスリスト自体は基本的に分類・識別条件を定義するだけなので、単体では意味をなさず、他の機能と組み合わせて初めて効果を発揮しますが、本解説編では作成したアクセスリストの使用方法については軽く触れるだけにします。各機能におけるアクセスリストの具体的な使用方法については、該当機能の解説編やコマンドリファレンス編をご参照ください。

Note - スタティックトランクグループに QoS の設定をした場合、スタティックトランクグループではないポートに QoS の設定ができません。同様に、スタティックトランクグループではないポートにQoSの設定をするとスタティックトランクグループに QoS の設定ができません。ただし、スタティックトランクグループに QoS、それ以外のポートにアクセスリストの設定、または、スタティックトランクグループにアクセスリスト、それ以外のポートにQoSの設定は可能です。

アクセスリストの種類と用途

アクセスリストには、大きく分けて「標準IPアクセスリスト」、「標準IPv6アクセスリスト」、「ハードウェアアクセスリスト」の3種類があります。

次に示すように、これらはそれぞれ用途が分かれています。したがって、用途が決まれば使用すべきアクセスリストの種類も自動的に決まります。

表 1：アクセスリストの種類と用途

アクセスリストの種類 アクセスリストを利用する機能 用途

標準IPアクセスリスト SNMP SNMPコミュニティーへのアクセス制御

NTP NTPサービスへのアクセス制御

標準IPv6アクセスリスト MLD Snooping 参加可能なマルチキャストグループの制限

各種機能の設定対象となるマルチキャストグループの指定

ハードウェアアクセスリストハードウェアパケットフィルター受信スイッチポートにおけるパケットフィルタリング

Quality of Service（QoS）受信スイッチポートにおけるトラフィック分類

Note - 標準IPアクセスリストと標準IPv6アクセスリストは、一般的なパケットフィルタリング（本製品を通過するパケット全般を対象としたフィルタリング）には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。なお、本製品は現在IPv6のパケットフィルタリングには対応していません。

Note - SNMPアクセス制御を使用するとき、アクセスリストのDenyアクションが動作しません。

なお、ハードウェアアクセスリストは、分類条件としてEthernetヘッダー、IPヘッダー以降のどちらを使うかの違いによって、2つに小分類することができます。したがって、厳密にはアクセスリストの種類は次の4つとなります。

表 2：アクセスリストの種類と識別子および設定コマンド

アクセスリストの種類 識別子 設定コマンド

標準IPアクセスリスト

番号付き標準IPアクセスリスト 1～99、1300～1999 access-list(standard)コマンド

標準IPv6アクセスリスト

名前付き標準IPv6アクセスリスト名前（文字列） ipv6 access-list standardコマンド

ハードウェアアクセスリスト

ハードウェアIPアクセスリスト 3000～3699 access-list(hardware ip)コマンド

ハードウェアMACアクセスリスト 4000～4699 access-list(hardware mac)コマンド

コマンド形式（シーケンス番号対応）

アクセスリストのコマンドの形式には2種類あります。

逐次指定
以下のように、設定対象のリストと個々のルールを毎回指定します。
access-list 1 deny 192.168.10.0 0.0.0.255 access-list 1 permit any
サブモード指定（シーケンス番号対応）
最初にリスト指定を行いサブモードに入ったあと、個々のルールを指定します。また、ルール指定時にシーケンス番号を指定することで、リスト内の位置を指定できます。
access-list 1 10 deny 192.168.10.0 0.0.0.255 20 permit any
なお、ハードウェアアクセスリストでのサブモード指定は、LISTNAMEで作成した時のみ可能です。

アクセスリストの種類ごとに、以下のように、両方の形式のためのコマンドが用意されています。

表 3：コマンド形式（シーケンス番号対応）

アクセスリストの種類 逐次指定 サブモード指定（シーケンス番号対応）

標準IPアクセスリスト

番号付き標準IPアクセスリスト access-list(standard)コマンド access-list(standard)(list)コマンド、access-list(standard)(seq entry)コマンド

標準IPv6アクセスリスト

名前付き標準IPv6アクセスリスト ipv6 access-list standardコマンド ipv6 access-list standard(list)コマンド、ipv6 access-list standard(seq entry)コマンド

ハードウェアアクセスリスト

ハードウェアIPアクセスリスト access-list(hardware ip)コマンド access-list hardware(list)コマンド、access-list hardware(seq entry)コマンド

ハードウェアMACアクセスリスト access-list(hardware mac)コマンド access-list hardware(list)コマンド、access-list hardware(seq entry)コマンド

以下の説明では、逐次指定のコマンド形式を使用します。

アクセスリストの作成

以下では、アクセスリストの種類ごとに、その概要と作成方法について説明します。

標準IPアクセスリスト

標準IPアクセスリストは、IPアドレスを1つだけ指定できるアクセスリストです。
始点IPアドレスに基づいて、本装置上のサービス（NTPなど）に対するアクセスを制御する場合に使用します。

Note - 標準IPアクセスリストは、一般的なパケットフィルタリング（本製品を通過するパケット全般を対象としたフィルタリング）には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。

標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

標準IPアクセスリストは、後述する標準IPv6アクセスリストと異なり、各リストを番号で識別するタイプしかありません。設定はaccess-list(standard)コマンドで行います。

以下では、標準IPアクセスリストの作成方法について解説します。

番号付き標準IPアクセスリスト

番号で識別するタイプの標準IPアクセスリストを作成するには、access-list(standard)コマンドを使います。標準IPアクセスリストには、1～99、および、1300～1999の範囲の番号を使います。

番号付き標準IPアクセスリストでは、通常始点IPアドレスに対してのみマッチングを行います。このとき、ワイルドカードマスク（リバースマスクまたはORマスクともいう）を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 番号付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

192.168.10.2と192.168.20.2にだけアクセスを許可する。

awplus(config)# access-list 1 permit host 192.168.10.2 ↓ awplus(config)# access-list 1 permit host 192.168.20.2 ↓

192.168.30.0/24からのアクセスを拒否し、その他は許可する。

awplus(config)# access-list 2 deny 192.168.30.0 0.0.0.255 ↓ awplus(config)# access-list 2 permit any ↓

標準IPv6アクセスリスト

標準IPv6アクセスリストは、IPv6アドレスを1つだけ指定できるアクセスリストです。
標準IPアクセスリストのIPv6版と考えればよいでしょう。

Note - 標準IPv6アクセスリストは、一般的なパケットフィルタリング（本製品を通過するパケット全般を対象としたフィルタリング）には使用されませんのでご注意ください。なお、本製品は現在IPv6のパケットフィルタリングには対応していません。

標準IPv6アクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

標準IPv6アクセスリストは、標準IPアクセスリストと異なり、各リストを名前で識別するタイプしかありません。設定はipv6 access-list standardコマンドで行います。

以下では、標準IPv6アクセスリストの作成方法について解説します。

名前付き標準IPv6アクセスリスト

名前で識別するタイプの標準IPv6アクセスリストを作成するには、ipv6 access-list standardコマンドを使います。

名前付き標準IPv6アクセスリストでは、通常始点IPv6アドレスに対してのみマッチングを行います。このとき、マスク長（ANDマスクともいう）を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - 名前付き標準IPv6アクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

マルチキャストグループアドレス「ff1e::d017」を拒否し、その他は許可する。

awplus(config)# ipv6 access-list standard gb deny ff1e::d017/128 ↓ awplus(config)# ipv6 access-list standard gb permit any ↓

マルチキャストグループアドレス「ff1e::bf:109f」と「ff1e::bf:110e」だけを許可する。

awplus(config)# ipv6 access-list standard gj permit ff1e::bf:109f/128 ↓ awplus(config)# ipv6 access-list standard gj permit ff1e::bf:110e/128 ↓

ハードウェアアクセスリスト

ハードウェアアクセスリストは、本製品のスイッチングチップ（ASIC）でパケットフィルタリングやトラフィック分類を行うためのアクセスリストです。

ハードウェアアクセスリストでは、パケットヘッダー内の各種フィールドを検査してパケットを分類し、分類したパケットに対しては、許可、破棄だけでなく、パケットのコピーをミラーポートから出力するなどの各種処理を行うことができます。

ハードウェアアクセスリストは、これまで説明してきた他のアクセスリストとは違って、エントリーを1つしか持てません。すなわち、ハードウェアアクセスリストは「リスト」という名を持ってはいますが、実際にはリストではなく単一のエントリーということになります。したがって、ハードウェアアクセスリストには、他のアクセスリストにある「暗黙のdenyエントリー」は存在しません。

ハードウェアアクセスリストを用いてトラフィックの制御を行うときは、複数のハードウェアアクセスリスト（つまりエントリー）をスイッチポート（ハードウェアパケットフィルター）、あるいは、ポリシーマップ（QoSポリシー）に順序立てて関連付けることで、実際のリストを構成します。

ハードウェアアクセスリストには、IPヘッダー以降をマッチング対象にするものと、Ethernetヘッダーだけをマッチング対象にするものがあり、それぞれ以下のコマンドで設定を行います。

IPヘッダー以降を見るもの: access-list(hardware ip)コマンド
Ethernetヘッダーだけを見るもの: access-list(hardware mac)コマンド

両者は使用できる分類条件が異なるだけで、トラフィックを制御する各機能においてはどちらもほぼ同じように、混在して使用できます。

以下では、ハードウェアアクセスリストを用いてトラフィックを分類する方法について解説します。

なお、ハードウェアアクセスリストを使って経路エントリーの分類・識別や制御を行うことはできません。

ハードウェアIPアクセスリスト

ハードウェアIPアクセスリストを作成するには、access-list(hardware ip)コマンドを使います。

ハードウェアIPアクセスリストでは、通常始点IPアドレスと終点IPアドレスに対してマッチングを行います。このとき、マスク長（ANDマスクともいう）やワイルドカードマスク（リバースマスクまたはORマスクともいう）を使うことで、柔軟なアドレス指定が可能です。また、TCP/UDPパケットに対しては終点・始点のポート番号を、ICMPパケットに対してはメッセージタイプを指定することもできます。次にいくつか例を示します。

Note - ハードウェアIPアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。

192.168.10.100から192.168.10.1へのIPパケットを拒否する。

awplus(config)# access-list 3000 deny ip 192.168.10.100/32 192.168.10.1/32 ↓

192.168.10.1のTCP80番ポートへのアクセスを拒否する。

awplus(config)# access-list 3001 deny tcp any 192.168.10.1/32 eq 80 ↓

192.168.20.0/24から192.168.10.1へのPingを拒否する。

awplus(config)# access-list 3002 deny icmp 192.168.20.0/24 192.168.10.1/32 icmp-type 8 ↓

ハードウェアMACアクセスリスト

ハードウェアMACアクセスリストを作成するには、access-list(hardware mac)コマンドを使います。

ハードウェアMACアクセスリストでは、送信元MACアドレスと宛先MACアドレスに対してマッチングを行います。このとき、ワイルドカードマスク（リバースマスクまたはORマスクともいう）を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。

Note - ハードウェアMACアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。

MACアドレス00-0a-79-34-0b-33からのパケットを拒否する。

awplus(config)# access-list 4000 deny 000a.7934.0b33 0000.0000.0000 any ↓

MACアドレス00-11-22-33-44-55から00-0a-79-34-0b-33へのパケットを拒否する。

awplus(config)# access-list 4001 deny 0011.2233.4455 0000.0000.0000 000a.7934.0b33 0000.0000.0000 ↓

アクセスリストの使用

作成したアクセスリストは、以下の機能/コマンドから使用できます（経路フィルタリング関連機能を除く）。

標準IPアクセスリスト

標準IPアクセスリストを利用したアクセス制御関連の機能としては、以下のものがあります。

SNMPコミュニティーへのアクセス制御：snmp-server communityコマンド
NTPサービスへのアクセス制御：ntp access-groupコマンド

■ SNMPの詳細については、「運用・管理」の「SNMP」をご覧ください。

■ NTPの詳細については、「運用・管理」の「NTP」をご覧ください。

標準IPv6アクセスリスト

標準IPv6アクセスリストを利用したアクセス制御関連の機能としては、以下のものがあります。

MLD Snoopingにおけるグループ参加のフィルタリング：ipv6 mld access-groupコマンド

また、各種アドレスの指定に標準IPv6アクセスリストを使う機能としては、以下のものがあります。

MLD Snoopingにおける登録可能グループ数制限の除外対象指定：ipv6 mld limitコマンド、ipv6 mld limitコマンド

■ MLD Snoopingの詳細については、「IPv6マルチキャスト」の「MLD Snooping」をご覧ください。

ハードウェアアクセスリスト

ハードウェアアクセスリストは、次の機能で使用します。

受信スイッチポートにおけるパケットフィルタリング：access-groupコマンド（インターフェースモード）
受信スイッチポートにおけるトラフィック分類（Quality of Service）：match access-groupコマンド

■ ハードウェアパケットフィルターの詳細については、「トラフィック制御」の「ハードウェアパケットフィルター」をご覧ください。

■ Quality of Service（QoS）の詳細については、「トラフィック制御」の「Quality of Service」をご覧ください。

PN: 613-001681 Rev.D

アクセスリストの種類	アクセスリストを利用する機能	用途
標準IPアクセスリスト	SNMP	SNMPコミュニティーへのアクセス制御
標準IPアクセスリスト	NTP	NTPサービスへのアクセス制御
標準IPv6アクセスリスト	MLD Snooping	参加可能なマルチキャストグループの制限
標準IPv6アクセスリスト	MLD Snooping	各種機能の設定対象となるマルチキャストグループの指定
ハードウェアアクセスリスト	ハードウェアパケットフィルター	受信スイッチポートにおけるパケットフィルタリング
ハードウェアアクセスリスト	Quality of Service（QoS）	受信スイッチポートにおけるトラフィック分類

アクセスリストの種類	識別子	設定コマンド
標準IPアクセスリスト
番号付き標準IPアクセスリスト	1～99、1300～1999	access-list(standard)コマンド
標準IPv6アクセスリスト
名前付き標準IPv6アクセスリスト	名前（文字列）	ipv6 access-list standardコマンド
ハードウェアアクセスリスト
ハードウェアIPアクセスリスト	3000～3699	access-list(hardware ip)コマンド
ハードウェアMACアクセスリスト	4000～4699	access-list(hardware mac)コマンド

アクセスリストの種類	逐次指定	サブモード指定（シーケンス番号対応）
標準IPアクセスリスト
番号付き標準IPアクセスリスト	access-list(standard)コマンド	access-list(standard)(list)コマンド、access-list(standard)(seq entry)コマンド
標準IPv6アクセスリスト
名前付き標準IPv6アクセスリスト	ipv6 access-list standardコマンド	ipv6 access-list standard(list)コマンド、ipv6 access-list standard(seq entry)コマンド
ハードウェアアクセスリスト
ハードウェアIPアクセスリスト	access-list(hardware ip)コマンド	access-list hardware(list)コマンド、access-list hardware(seq entry)コマンド
ハードウェアMACアクセスリスト	access-list(hardware mac)コマンド	access-list hardware(list)コマンド、access-list hardware(seq entry)コマンド