[index]
CentreCOM x510シリーズ コマンドリファレンス 5.4.2
トラフィック制御 / アクセスリスト
- アクセスリストの種類と用途
- コマンド形式(シーケンス番号対応)
- アクセスリストの作成
- 標準IPアクセスリスト
- 番号付き標準IPアクセスリスト
- 名前付き標準IPアクセスリスト
- 標準IPv6アクセスリスト
- 名前付き標準IPv6アクセスリスト
- ハードウェアアクセスリスト
- ハードウェアIPアクセスリスト
- ハードウェアMACアクセスリスト
- アクセスリストの使用
- 標準IPアクセスリスト
- 標準IPv6アクセスリスト
- ハードウェアアクセスリスト
アクセスリストは、MACアドレス、IPアドレスなどのアドレス情報に基づいてパケットやトラフィック、アプリケーションセッション、経路エントリーなどを分類・識別し、分類後の処理を指定したり、設定対象IPアドレスを範囲指定したりするための汎用的な仕組みです。
本解説編では、アクセスリストの種類と用途について述べた後、アクセスリストの基本的な作成方法について解説します。
なお、アクセスリスト自体は基本的に分類・識別条件を定義するだけなので、単体では意味をなさず、他の機能と組み合わせて初めて効果を発揮しますが、本解説編では作成したアクセスリストの使用方法については軽く触れるだけにします。各機能におけるアクセスリストの具体的な使用方法については、該当機能の解説編やコマンドリファレンス編をご参照ください。
アクセスリストの種類と用途
アクセスリストには、大きく分けて「標準IPアクセスリスト」、「標準IPv6アクセスリスト」、「ハードウェアアクセスリスト」の3種類があります。
次に示すように、これらはそれぞれ用途が分かれています。したがって、用途が決まれば使用すべきアクセスリストの種類も自動的に決まります。
表 1:アクセスリストの種類と用途
| アクセスリストの種類 |
アクセスリストを利用する機能 |
用途 |
| 標準IPアクセスリスト |
SNMP |
SNMPコミュニティーへのアクセス制御 |
| NTP |
NTPサービスへのアクセス制御 |
| IGMP |
参加可能なマルチキャストグループの制限 |
| 各種機能の設定対象となるマルチキャストグループの指定 |
| 標準IPv6アクセスリスト |
MLD Snooping |
参加可能なマルチキャストグループの制限 |
| 各種機能の設定対象となるマルチキャストグループの指定 |
| ハードウェアアクセスリスト |
ハードウェアパケットフィルター |
受信スイッチポートにおけるパケットフィルタリング |
| Quality of Service(QoS) |
受信スイッチポートにおけるトラフィック分類 |
Note - 標準IPアクセスリストと標準IPv6アクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。なお、本製品は現在IPv6のパケットフィルタリングには対応していません。
Note - SNMPアクセス制御を使用するとき、アクセスリストのDenyアクションが動作しません。
なお実際には、標準IPv6アクセスリストを除く2種類は、識別子(ID)として番号、文字列のどちらを使うか、あるいは、分類条件としてEthernetヘッダー、IPヘッダー以降のどちらを使うかの違いによって、さらにそれぞれ2つずつ小分類することができます。したがって、厳密にはアクセスリストの種類は次の5つとなります。
コマンド形式(シーケンス番号対応)
アクセスリストのコマンドの形式には2種類あります。
- 逐次指定
以下のように、設定対象のリストと個々のルールを毎回指定します。
access-list standard MYLIST permit 10.0.0.4/32
access-list standard MYLIST permit 10.0.0.5/32
access-list standard MYLIST deny any
|
- サブモード指定(シーケンス番号対応)
最初にリスト指定を行いサブモードに入ったあと、個々のルールを指定します。また、ルール指定時にシーケンス番号を指定することで、リスト内の位置を指定できます。
access-list standard MYLIST
10 permit 10.0.0.4/32
30 permit 10.0.0.5/32
1000 deny any
|
なお、ハードウェアアクセスリストでのサブモード指定は、LISTNAMEで作成した時のみ可能です。
アクセスリストの種類ごとに、以下のように、両方の形式のためのコマンドが用意されています。
以下の説明では、逐次指定のコマンド形式を使用します。
アクセスリストの作成
以下では、アクセスリストの種類ごとに、その概要と作成方法について説明します。
標準IPアクセスリスト
標準IPアクセスリストは、IPアドレスを1つだけ指定できるアクセスリストです。
おもに、始点IPアドレスに基づいて、本装置上のサービス(NTPなど)に対するアクセスを制御する場合に使用します。また、マルチキャスト関連機能において、設定対象のグループアドレスを範囲指定する場合にも使用します。
Note - 標準IPアクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。パケットフィルタリングには、ハードウェアアクセスリストを使用します。
標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。
標準IPアクセスリストには、各リストを番号で識別するタイプと名前で識別するタイプがあり、それぞれ以下のコマンドで設定を行います。
両者は分類条件の指定方法が若干異なるだけで、アクセスリストを使用する各機能においてはどちらもほぼ同じように使用できます。ただし、機能によってはどちらか一方しか使えないものもありますので、詳細は各機能の解説編やコマンドリファレンス編で確認してください。
以下では、標準IPアクセスリストの作成方法について解説します。
番号付き標準IPアクセスリスト
番号で識別するタイプの標準IPアクセスリストを作成するには、access-list(standard)コマンドを使います。標準IPアクセスリストには、1〜99、および、1300〜1999の範囲の番号を使います。
番号付き標準IPアクセスリストでは、通常始点IPアドレスに対してのみマッチングを行います。このとき、ワイルドカードマスク(リバースマスクまたはORマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。
Note - 番号付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。
- 192.168.10.2と192.168.20.2にだけアクセスを許可する。
awplus(config)# access-list 1 permit host 192.168.10.2 ↓
awplus(config)# access-list 1 permit host 192.168.20.2 ↓
|
- 192.168.30.0/24からのアクセスを拒否し、その他は許可する。
awplus(config)# access-list 2 deny 192.168.30.0 0.0.0.255 ↓
awplus(config)# access-list 2 permit any ↓
|
名前付き標準IPアクセスリスト
名前で識別するタイプの標準IPアクセスリストを作成するには、access-list standardコマンドを使います。
名前付き標準IPアクセスリストでは、通常始点IPアドレスに対してのみマッチングを行います。このとき、マスク長(ANDマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。
Note - 名前付き標準IPアクセスリストにはexact-matchというオプションがありますが、これは経路エントリーを対象とするときだけ意味を持つオプションなので、ここでは触れません。
Note - 名前付き標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。
- 192.168.10.2と192.168.20.2にだけアクセスを許可する。
awplus(config)# access-list standard n1 permit 192.168.10.2/32 ↓
awplus(config)# access-list standard n1 permit 192.168.20.2/32 ↓
|
- 192.168.30.0/24からのアクセスを拒否し、その他は許可する。
awplus(config)# access-list standard n2 deny 192.168.30.0/24 ↓
awplus(config)# access-list standard n2 permit any ↓
|
標準IPv6アクセスリスト
標準IPv6アクセスリストは、IPv6アドレスを1つだけ指定できるアクセスリストです。
標準IPアクセスリストのIPv6版と考えればよいでしょう。
Note - 標準IPv6アクセスリストは、一般的なパケットフィルタリング(本製品を通過するパケット全般を対象としたフィルタリング)には使用されませんのでご注意ください。なお、本製品は現在IPv6のパケットフィルタリングには対応していません。
標準IPv6アクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理(permitかdeny)が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。
標準IPv6アクセスリストは、標準IPアクセスリストと異なり、各リストを名前で識別するタイプしかありません。設定はipv6 access-list standardコマンドで行います。
以下では、標準IPv6アクセスリストの作成方法について解説します。
名前付き標準IPv6アクセスリスト
名前で識別するタイプの標準IPv6アクセスリストを作成するには、ipv6 access-list standardコマンドを使います。
名前付き標準IPv6アクセスリストでは、通常始点IPv6アドレスに対してのみマッチングを行います。このとき、マスク長(ANDマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。
Note - 名前付き標準IPv6アクセスリストにはexact-matchというオプションがありますが、これは経路エントリーを対象とするときだけ意味を持つオプションなので、ここでは触れません。
Note - 名前付き標準IPv6アクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。
- マルチキャストグループアドレス「ff1e::d017」を拒否し、その他は許可する。
awplus(config)# ipv6 access-list standard gb deny ff1e::d017/128 ↓
awplus(config)# ipv6 access-list standard gb permit any ↓
|
- マルチキャストグループアドレス「ff1e::bf:109f」と「ff1e::bf:110e」だけを許可する。
awplus(config)# ipv6 access-list standard gj permit ff1e::bf:109f/128 ↓
awplus(config)# ipv6 access-list standard gj permit ff1e::bf:110e/128 ↓
|
ハードウェアアクセスリスト
ハードウェアアクセスリストは、本製品のスイッチングチップ(ASIC)でパケットフィルタリングやトラフィック分類を行うためのアクセスリストです。
ハードウェアアクセスリストでは、パケットヘッダー内の各種フィールドを検査してパケットを分類し、分類したパケットに対しては、許可、破棄だけでなく、パケットのコピーをミラーポートから出力するなどの各種処理を行うことができます。
ハードウェアアクセスリストは、これまで説明してきた他のアクセスリストとは違って、エントリーを1つしか持てません。すなわち、ハードウェアアクセスリストは「リスト」という名を持ってはいますが、実際にはリストではなく単一のエントリーということになります。したがって、ハードウェアアクセスリストには、他のアクセスリストにある「暗黙のdenyエントリー」は存在しません。
ハードウェアアクセスリストを用いてトラフィックの制御を行うときは、複数のハードウェアアクセスリスト(つまりエントリー)をスイッチポート(ハードウェアパケットフィルター)、あるいは、ポリシーマップ(QoSポリシー)に順序立てて関連付けることで、実際のリストを構成します。
ハードウェアアクセスリストには、IPヘッダー以降をマッチング対象にするものと、Ethernetヘッダーだけをマッチング対象にするものがあり、それぞれ以下のコマンドで設定を行います。
両者は使用できる分類条件が異なるだけで、トラフィックを制御する各機能においてはどちらもほぼ同じように、混在して使用できます。
以下では、ハードウェアアクセスリストを用いてトラフィックを分類する方法について解説します。
なお、ハードウェアアクセスリストを使って経路エントリーの分類・識別や制御を行うことはできません。
ハードウェアIPアクセスリスト
ハードウェアIPアクセスリストを作成するには、access-list(hardware ip)コマンドを使います。
ハードウェアIPアクセスリストでは、通常始点IPアドレスと終点IPアドレスに対してマッチングを行います。このとき、マスク長(ANDマスクともいう)やワイルドカードマスク(リバースマスクまたはORマスクともいう)を使うことで、柔軟なアドレス指定が可能です。また、TCP/UDPパケットに対しては終点・始点のポート番号を、ICMPパケットに対してはメッセージタイプを指定することもできます。次にいくつか例を示します。
Note - ハードウェアIPアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。
- 192.168.10.100から192.168.10.1へのIPパケットを拒否する。
awplus(config)# access-list 3000 deny ip 192.168.10.100/32 192.168.10.1/32 ↓
|
- 192.168.10.1のTCP80番ポートへのアクセスを拒否する。
awplus(config)# access-list 3001 deny tcp any 192.168.10.1/32 eq 80 ↓
|
- 192.168.20.0/24から192.168.10.1へのPingを拒否する。
awplus(config)# access-list 3002 deny icmp 192.168.20.0/24 192.168.10.1/32 icmp-type 8 ↓
|
ハードウェアMACアクセスリスト
ハードウェアMACアクセスリストを作成するには、access-list(hardware mac)コマンドを使います。
ハードウェアMACアクセスリストでは、送信元MACアドレスと宛先MACアドレスに対してマッチングを行います。このとき、ワイルドカードマスク(リバースマスクまたはORマスクともいう)を使うことで、柔軟なアドレス指定が可能です。次にいくつか例を示します。
Note - ハードウェアMACアクセスリストは、実際にはリストでなく単一エントリーにすぎないため、他のアクセスリストにある暗黙のdenyエントリーは存在しません。
- MACアドレス00-0a-79-34-0b-33からのパケットを拒否する。
awplus(config)# access-list 4000 deny 000a.7934.0b33 0000.0000.0000 any ↓
|
- MACアドレス00-11-22-33-44-55から00-0a-79-34-0b-33へのパケットを拒否する。
awplus(config)# access-list 4001 deny 0011.2233.4455 0000.0000.0000 000a.7934.0b33 0000.0000.0000 ↓
|
アクセスリストの使用
作成したアクセスリストは、以下の機能/コマンドから使用できます(経路フィルタリング関連機能を除く)。
標準IPアクセスリスト
標準IPアクセスリストを利用したアクセス制御関連の機能としては、以下のものがあります。
また、各種アドレスの指定に標準IPアクセスリストを使う機能としては、以下のものがあります。
■ SNMPの詳細については、「運用・管理」の「SNMP」をご覧ください。
■ NTPの詳細については、「運用・管理」の「NTP」をご覧ください。
■ IGMPの詳細については、「IPマルチキャスト」の「IGMP」をご覧ください。
標準IPv6アクセスリスト
標準IPv6アクセスリストを利用したアクセス制御関連の機能としては、以下のものがあります。
また、各種アドレスの指定に標準IPv6アクセスリストを使う機能としては、以下のものがあります。
■ MLD Snoopingの詳細については、「IPv6マルチキャスト」の「MLD Snooping」をご覧ください。
ハードウェアアクセスリスト
ハードウェアアクセスリストは、次の機能で使用します。
■ ハードウェアパケットフィルターの詳細については、「トラフィック制御」の「ハードウェアパケットフィルター」をご覧ください。
■ Quality of Service(QoS)の詳細については、「トラフィック制御」の「Quality of Service」をご覧ください。
(C) 2012 アライドテレシスホールディングス株式会社
PN: 613-001763 Rev.A