VACL ( VLAN Access-list ) - Cisco Config



 ◆ VACL(VLAN access-list)とは

 VACLとは、VLANに着信するトラフィックに適用できるACLのことです。VLAN内部でブリッジングされる
 トラフィックや、VLAN間でルーティングされるトラフィックなど、VLANに着信してくるトラフィックに
 対してACLでフィルタリングできます。L2経由、L3経由に関係なく、VLANに着信するトラフィックが対象。


     


 VACLには「IPアクセスリスト」と「MACアクセスリスト」の大きく2種類のACLがあります。

2種類のVACL 説明
IPアクセスリスト  IPv4パケット、IPv6パケットをフィルタリングする標準、拡張、名前付きACL
MACアクセスリスト  イーサネットフレームのフィールドに基づいてIP以外のパケットをフィルタリングするACL


 ◆ VACL(VLAN access-list)- コンフィグ設定

 VACLは大きく3つのステップで設定します。注意点として、Step1ではACLエントリを定義しますが、
 ここでトラフィックの許可、拒否ではなく、
どのようなトラフィックを対象にするかの定義となります。
 そして、対象トラフィックを転送するか(forward)破棄するか(drop)は、Step2により定義します。

 Step1:IPアクセスリストまたはMACアクセスリストで対象トラフィックの指定
 (config)# access-list number [ permit | deny ]
protocol source-ip port destination-ip port

 (config)# mac access-list extended acl-name
 (config-ext-macl)#
permit [ host source-mac | any ] [ host dest-mac | any ]


 Step2:VACLの定義(VLANに対する転送、破棄する条件を指定)
 (config)# vlan access-map map-name [ sequence-number ]
 (config-access-map)#
match [ mac | ip ] address acl-number | acl-name
 (config-access-map)# action [ drop [ log ] | forward ]

コマンド引数 説明
 sequence-number  VACLの行番号。指定しない場合、10、20の順番で10ごとに行番号が割り振られる。
 acl-number | acl-name  Step1で作成したACL番号またはACL名を指定。
 drop  トラフィックを破棄。logオプションを付加するとドロップパケットをロギングする。
 forward  トラフィックを転送。


 上記の3行の設定コマンドが1つのVACLです。VACLの2行目でmatchコマンドを指定しない場合、match any
 と同じ定義となり全てのトラフィックが対象となります。VACLの3行目には「暗黙のdrop」が存在しており、
 matchコマンドで合致しなかったトラフィックは、それがforward対象でなければ全てdrop(破棄)されます。


 Step3:VACLのVLANへの適用
 (config)#
vlan filter map-name vlan-list vlan-id


 設定例は、宛先ネットワーク 10.1.1.0/24 (VLAN100)に対し、送信元IPアドレス「192.168.1.0/24」と
 送信元MACアドレス「0000.aaaa.1111」からのトラフィックをドロップして、それ以外は全て許可します。


 Catalyst(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any

 Catalyst(config)# mac access-list extended DBSV
 Catalyst(config-ext-macl)# permit host 0000.aaaa.1111 any



 Catalyst(config)# vlan access-map V-MAP 10
 Catalyst(config-access-map)# match ip address 101
 Catalyst(config-access-map)# action drop

 Catalyst(config)# vlan access-map V-MAP 20
 Catalyst(config-access-map)# match mac address DBSV
 Catalyst(config-access-map)# action drop

 Catalyst(config)# vlan access-map V-MAP 30
 Catalyst(config-access-map)# action forward

 Catalyst(config)# vlan filter V-MAP vlan-list 10
0

 ※ VACLのステータスは「 show vlan access-map、show vlan filter、show access-lists 」コマンドで確認できます。


 設定例では宛先ネットワーク 10.1.1.0/24 (VLAN100)に対して適用するVACLとなっていますが、これを
 宛先ネットワーク 10.1.1.0/24 (VLAN100)と 10.1.2.0/24 (VLAN200)に適用したい場合には、複数
 のVLANを vlan filter コマンドで適用します。⇒ Catalyst(config)#
vlan filter V-MAP vlan-list 100, 200



ACL - 時間ベースACL / ダイナミックACL / 再帰ACL / TCPインターセプト / CBAC / PACL VACL RACL

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.