 CatalystスイッチでのACL
CatalystではACLをRACL、VACL、PACLの3つに分類しています。RACLとは、俗に言うACLのことであり
RACL( Router Access Contorol List ) は、ルーテッドポートやSVIなどのL3インターフェースに適用できる
Cisco IOSルータに設定するACLと同じものです。VACL(
VLAN Access Control List )とはVLAN上の全て
のトラフィックに適用できる ( L2, L3, L4の対象可
) リストであり、VLANアクセスマップとも呼ばれています。
PACL( Port ACL )は、L2ポートに着信するトラフィックに対して適用できる(
L2, L3, L4対象可 ) リストです。
| 種類 |
RACL |
VACL |
PACL |
| 適用先 |
SVI or ルーテッドポート |
VLAN |
L2のスイッチポート |
| 適用対象 |
ルーティング |
ルーティングとブリッジング |
ルーティングとブリッジング |
| 適用方向 |
input or output |
input |
input |
複数適用時
の処理順番 |
3 |
2 |
1 |
| 対象ヘッダ ( L2 ) |
指定不可 |
IP以外のフレームに適用 |
IP以外のフレームに適用 |
| 対象ヘッダ ( L3 ) |
指定可能 |
指定可能 |
指定可能 |
| 対象ヘッダ ( L4 ) |
指定可能 |
指定可能 |
指定可能 |
※ CatalystでサポートするACL番号は、IP標準ACL1〜99(拡張1300〜1999)、IP拡張ACL100〜199(拡張2000〜2699)だけです。
※ VACLやPACLで使用できるMACフィルタリングはIP以外のフレームに適用されるが、ルータのACL700〜799ではIPフレームに適用可能。
RACLの実装例
下図はホストCからホストAにパケットを送信した時のフローで、その際のRACLの適用方向を示しています。
以下では、ルーテッドポートであるG0/3で受信する全てのHTTPパケットのみを許可して
SVI 10では、
全ての宛先から「10.1.1.1/24」宛てのHTTPトラフィックのみを送信するパケットのみを許可しています。
Catalyst(config)# interface gigabitethernet
0/3
Catalyst(config-if)# no switchport
Catalyst(config-if)# ip address 192.168.0.1
255.255.255.0
Catalyst(config-if)# ip access-group 101
in
Catalyst(config)# interface vlan 10
Catalyst(config-if)# ip address 10.1.1.1
255.255.255.0
Catalyst(config-if)# ip access-group 102
out
Catalyst(config)# access-list 101 permit
tcp any any eq www
Catalyst(config)# access-list 102 permit
tcp any host 10.1.1.1 eq www
|
※ このRACLはルータのACLと同様に動作しますが、ハードウェア処理される為、一部の機器ではACLカウンタがヒットしない。
VACLの実装例
下図はホストBとCからホストAにパケットを送信した時のフローで、その際のVACLの適用方向を示しています。
VACLはRACLと違い、ブリッジングの際にも適用することができるACLです。ホストAとホストBは同一の
セグメントにいますが、このホスト間の通信トラフィックの許可と拒否の制御をVACLで実装させられます。
また、VACLはルーティングの前後にVLANを経由するパケットにも適用されます。ホストAとCでは異なる
セグメントにいますが、このホスト間の通信トラフィックの許可と拒否の制御をVACLで実装させられます。
但しVACLの適用方向は [ input ] のみで、VACLを設定したVLANにフレームが着信する時のみの適用
となります。VACLでは次に紹介するPACL同様、[
名前つきMAC拡張ACL ] を適用することが可能です。
以下では、送信元「10.1.1.2」および「192.168.0.0/24」から宛先「10.1.1.1」へのTCPトラフィックアクセスを
拒否して、それ以外のIPトラフィックを全て許可するVLANマップ「CISCO」を、VLAN10に適用しています。
Catalyst(config)# ip access-list extended
A-tcp
Catalyst(config-ext-nacl)# permit tcp host
10.1.1.2 host 10.1.1.1
Catalyst(config-ext-nacl)# permit tcp 192.168.0.0
0.0.0.255 host 10.1.1.1
Catalyst(config)# ip access-list extended
A-ip
Catalyst(config-ext-nacl)# permit ip any
any
Catalyst(config-ext-nacl)# permit ip any
any
Catalyst(config)# vlan access-map V-map
10
Catalyst(config-access-map)# match ip address
A-tcp
Catalyst(config-access-map)# action drop
Catalyst(config)# vlan access-map V-map
20
Catalyst(config-access-map)# match ip address
A-ip
Catalyst(config-access-map)# action forward
Catalyst(config)# vlan filter V-map vlan
10
|
上記のコンフィグは下記に置き換えられます。ACL「A-tcp」に合致するパケットは廃棄して、それ以外の
全てのトラフィックは転送しています。例えば、route-map
の「二度打ち」「空打ち」の考え方と同じです。
※ VLANマップでは、該当パケットタイプに対するmatchコマンドがVLANマップ内にない場合、デフォルトでパケットが転送される。
Catalyst(config)# ip access-list extended
A-tcp
Catalyst(config-ext-nacl)# permit tcp host
10.1.1.2 host 10.1.1.1
Catalyst(config-ext-nacl)# permit tcp 192.168.0.0
0.0.0.255 host 10.1.1.1
Catalyst(config)# vlan access-map V-map
10
Catalyst(config-access-map)# match ip address
A-tcp
Catalyst(config-access-map)# action drop
Catalyst(config)# vlan access-map V-map
20
Catalyst(config-access-map)# action forward
Catalyst(config)# vlan filter V-map vlan
10
|
PACLの実装例
下図はホストBとCからホストAにパケットを送信した時のフローで、その際のPACLの適用方向を示しています。
PACLはVACLと同様に、ルーティングだけでなくブリッジングの際にも適用することができるACLです。
相違点は、VACLはVLANへの適用であることに対して、PACLはL2物理ポートへの適用であることです。
以下では、送信元「10.1.1.2」から宛先「10.1.1.1」へのTCPトラフィックを拒否し、それ以外のIPトラフィック
を許可するACLをG0/2に適用しています。また、送信元「192.168.0.0/24」から宛先「10.1.1.2」へのTCP
トラフィックを拒否して、それ以外のIPトラフィックを許可するACLをG0/3に適用しています。
Catalyst(config)# ip access-list extended
A-tcp
Catalyst(config-ext-nacl)# deny tcp host
10.1.1.2 host 10.1.1.1
Catalyst(config-ext-nacl)# permit ip any
any
Catalyst(config)# interface gigabitethernet
0/2
Catalyst(config-if)# ip access-group T-tcp
in
Catalyst(config)# ip access-list extended
A-tcp2
Catalyst(config-ext-nacl)# deny tcp 192.168.0.0
0.0.0.255 host 10.1.1.1
Catalyst(config-ext-nacl)# permit ip any
any
Catalyst(config)# interface gigabitethernet
0/2
Catalyst(config-if)# ip access-group T-tcp2
in
|
※ PACLは物理I/Fであればルーテッドであっても適用できます。トランクポートに適用した場合、全てのフレームに適用されます。
Resource : ネットワークセキュリティテキスト IPアクセスリストの設定 Cat3560 ACLの設定 traffic Filterling IP Application
|