ACL
ACL
1. 機能概要
アクセスリスト(ACL)とは、フレームの許可・拒否を決めるための条件文のことです。
インターフェースに対してアクセスリストを適用すると、許可したフレームと条件に一致しないフレームは転送し、拒否したフレームのみ破棄します。
これにより、特定のフレームのみを転送対象とすることができるため、主にセキュリティを確保するために使用されます。
本製品では、アクセスリストとして下表に示す3種類をサポートします。
-
アクセスリストの種類
アクセスリストの
種類判断基準 アクセスリストID 用 途 IPv4
アクセスリスト送信元IPv4アドレス
1~2000
特定のホスト、ネットワークからのアクセスをフィルタリングします。
IPv6
アクセスリスト送信元IPv6アドレス
3001~4000
特定のホスト、ネットワークからのアクセスをフィルタリングします。
MAC
アクセスリスト送信元MACアドレス
2001~3000
特定のデバイスからのアクセスをフィルタリングします。
2. 用語の定義
ACL
Access Control List の略。
ワイルドカードマスク
指定したIPv4アドレス, MACアドレスのどこを読み取るかを指定した情報です。ACLの条件で IPv4アドレス, MACアドレスの範囲を指定する際に使用 します。
-
ワイルドカードマスクのビットが "0" の場合 : 該当ビットをチェックします
-
ワイルドカードマスクのビットが "1" の場合 : 該当ビットをチェックしません
ワイルドカードマスクを使用した設定例を以下に示します。 (下線部分がワイルドカードマスク)
-
サブネット 192.168.1.0/24 に対して条件を指定する場合 : 192.168.1.0 0.0.0.255 (10進で指定)
-
ベンダーコード 00-A0-DE---* に対して条件を指定する場合: 00A0.DE00.0000 0000.00FF.FFFF (16進で指定)
3. 機能詳細
3.1. アクセスリストの生成
アクセスリストは、IPv4アクセスリスト、IPv6アクセスリスト、MACアクセスリストのそれぞれで 最大28個 生成することができます。
アクセスリストは、1つのリストに対して制御条件を 最大128件 登録することができます。
登録した制御条件を満たさなかった場合、通常どおり転送処理されます。
3.2. インターフェースへの適用
本製品のインターフェースに対するアクセスリストの適用状況は、下表のようになっています。
なお、インターフェースに対して適用可能なアクセスリストは 1つ です。
アクセスリストの種類 |
LANポート |
VLANインターフェース |
論理インターフェース |
|||
---|---|---|---|---|---|---|
in |
out |
in |
out |
in |
out |
|
IPv4アクセスリスト |
○ |
× |
× |
× |
× |
× |
IPv6アクセスリスト |
○ |
× |
× |
× |
× |
× |
MACアクセスリスト |
○ |
× |
× |
× |
× |
× |
インターフェースに適用できるアクセスリストの数は、アクセスリストに登録されている制御条件の数に依存します。
システム全体で使用可能な制御条件の数は IPv4とMACの合計で最大896件、IPv6で最大384件 です。
インターフェースにアクセスリストを適用させると "アクセスリストに登録されている制御条件の数だけ" リソースを消費します。
3.3. LANポートに対する設定
LANポートにアクセスリストを適用させる場合の手順について、以下に示します。
-
フィルタリング条件を決め、アクセスリストを生成します。
-
必要に応じて、名前を付けてください。
-
-
アクセスリストを確認します。
-
LANポートにアクセスリストを適用します。
-
適用したアクセスリストを確認します。
以下に操作コマンドの一覧を示します。
-
アクセスリスト操作コマンド
アクセスリストの
種類アクセスリストの
生成アクセスリストの
確認アクセスリストの
適用適用アクセスリストの
確認IPv4アクセスリスト
access-list
show access-list
access-group
show access-group
IPv6アクセスリスト
access-list
show access-list
access-group
show access-group
MACアクセスリスト
access-list
show access-list
access-group
show access-group
4. 関連コマンド
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
操作項目 | 操作コマンド |
---|---|
IPv4アクセスリストの生成 |
access-list |
IPv4アクセスリストのコメント追加 |
access-list description |
IPv4アクセスリストの適用 |
access-group |
IPv6アクセスリストの生成 |
access-list |
IPv6アクセスリストのコメント追加 |
access-list description |
IPv6アクセスリストの適用 |
access-group |
MACアクセスリストの生成 |
access-list |
MACアクセスリストのコメント追加 |
access-list description |
MACアクセスリストの適用 |
access-group |
生成したアクセスリストの表示 |
show access-list |
インターフェースに適用したアクセスリストの表示 |
show access-group |
5. コマンド実行例
5.1. IPv4アクセスリストの設定
■ホスト指定
LANポート #1 に対して、ホスト: 192.168.1.1 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を IPV4-ACL-EX を追加します。
-
アクセスリスト #123 を生成し、確認します。
Yamaha(config)#access-list 123 permit host 192.168.1.1 (1) Yamaha(config)#access-list 123 deny any Yamaha(config)#access-list 123 description IPV4-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show access-list 123 (3) IPv4 access list 123 10 permit host 192.168.1.1 20 deny any Yamaha#
1 アクセスリストの生成 2 アクセスリストに名前を付ける 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #123 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 123 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : IPv4 access group 123 in
1 アクセスリストの適用 2 アクセスリストの設定確認
■ネットワーク指定
LANポート #1 に対して、ネットワーク: 192.168.1.0/24 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を IPV4-ACL-EX を追加します。
-
アクセスリスト #123 を生成し、確認します。
Yamaha(config)#access-list 123 permit 192.168.1.0 0.0.0.255 (1) Yamaha(config)#access-list 123 deny any Yamaha(config)#access-list 123 description IPV4-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show ip access-list (3) IPv4 access list 123 10 permit 192.168.1.0/24 20 deny any Yamaha#
1 アクセスリストの生成 2 アクセスリストに名前を付ける 3 ACLの確認 -
LANポート #1 に アクセスリスト #123 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 123 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : IPv4 access group 123 in
1 アクセスリストの適用 2 アクセスリストの設定確認
5.2. IPv6アクセスリストの設定
■ホスト指定
LANポート #1 に対して、ホスト: 2001:db8::1 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの名前を IPV6-ACL-EX とします。
-
アクセスリスト #3001 を生成し、確認します。
Yamaha(config)#access-list 3001 permit 2001:db8::1/128 (1) Yamaha(config)#access-list 3001 deny any Yamaha(config)#access-list 3001 description IPV6-ACL-EX (2) Yamaha(config)#end Yamaha# show access-list 3001 (3) IPv6 access list 3001 10 permit 2001:db8::1/128 20 deny any
1 アクセスリストの生成 2 アクセスリストに名前を付ける 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #3001 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 3000 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : IPv6 access group 3001 in
1 アクセスリストの適用 2 アクセスリストの設定確認
■ネットワーク指定
LANポート #1 に対して、ネットワーク: 2001:db8::/64 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの名前を IPV6-ACL-EX とします。
-
アクセスリスト #3001 を生成し、確認します。
Yamaha(config)#access-list 3001 permit 2001:db8::/64 (1) Yamaha(config)#access-list 3001 deny any Yamaha(config)#access-list 3001 description IPV6-ACL-EX (2) Yamaha(config)#end Yamaha# show access-list 3001 (3) IPv6 access list 3001 10 permit 2001:db8::/64 20 deny any
1 アクセスリストの生成 2 アクセスリストに名前を付ける 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #3001 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 3001 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : IPv6 access group 3001 in
1 アクセスリストの適用 2 アクセスリストの設定確認
5.3. MACアクセスリストの設定
■ホスト指定
LANポート #1 に対して、ホスト: 00-A0-DE-12-34-56 からのアクセスのみ拒否し、それ以外を許可します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの名前を MAC-ACL-EX を追加します。
-
アクセスリスト #2001 を生成し、確認します。
Yamaha(config)#access-list 2001 deny host 00a0.de12.3456 (1) Yamaha(config)#access-list 2001 description MAC-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show access-list 2001 (3) MAC access list 2001 10 deny host 00A0.DE12.3456
1 アクセスリストの生成 2 アクセスリストの名前の設定 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #2001 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 2001 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : MAC access group 2001 in
1 アクセスリストの適用 2 アクセスリストの設定確認
■ベンダー指定
LANポート #1 に対して、ベンダーコード: 00-A0-DE---* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのアクセスのみ拒否し、それ以外を許可します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの名前を MAC-ACL-EX を追加します。
-
アクセスリスト #2001 を生成し、確認します。
Yamaha(config)#access-list 2001 deny 00a0.de00.0000 0000.00ff.ffff (1) Yamaha(config)#access-list 2001 description MAC-ACL-EX (2) Yamaha(config)#end Yamaha# Yamaha#show access-list 2001 (3) MAC access list 2001 10 deny 00A0.DE00.0000 0000.00FF.FFFF
1 アクセスリストの生成 2 アクセスリストの名前の設定 3 アクセスリストの確認 -
LANポート #1 に アクセスリスト #2001 を適用します。
Yamaha(config)#interface port1.1 Yamaha(config-if)#access-group 2001 in (1) Yamaha(config-if)#end Yamaha# Yamaha#show access-group (2) Interface port1.1 : MAC access group 2001 in
1 アクセスリストの適用 2 アクセスリストの設定確認
6. 注意事項
-
論理インターフェースに所属しているLANポートにアクセスリストが適用されている場合、論理インターフェースの最若番の所属ポートに適用されている設定が、他の所属ポートにも適用されます。