ACL

ACL

1. 機能概要

アクセスリスト(ACL)とは、フレームの許可・拒否を決めるための条件文のことです。
インターフェースに対してアクセスリストを適用すると、許可したフレームと条件に一致しないフレームは転送し、拒否したフレームのみ破棄します。
これにより、特定のフレームのみを転送対象とすることができるため、主にセキュリティを確保するために使用されます。
本製品では、アクセスリストとして下表に示す3種類をサポートします。

  • アクセスリストの種類

    アクセスリストの
    種類
    判断基準 アクセスリストID 用 途

    IPv4
    アクセスリスト

    送信元IPv4アドレス

    1~2000

    特定のホスト、ネットワークからのアクセスをフィルタリングします。

    IPv6
    アクセスリスト

    送信元IPv6アドレス

    3001~4000

    特定のホスト、ネットワークからのアクセスをフィルタリングします。

    MAC
    アクセスリスト

    送信元MACアドレス

    2001~3000

    特定のデバイスからのアクセスをフィルタリングします。

2. 用語の定義

ACL

Access Control List の略。

ワイルドカードマスク

指定したIPv4アドレス, MACアドレスのどこを読み取るかを指定した情報です。ACLの条件で IPv4アドレス, MACアドレスの範囲を指定する際に使用 します。

  • ワイルドカードマスクのビットが "0" の場合 : 該当ビットをチェックします

  • ワイルドカードマスクのビットが "1" の場合 : 該当ビットをチェックしません

ワイルドカードマスクを使用した設定例を以下に示します。 (下線部分がワイルドカードマスク)

  • サブネット 192.168.1.0/24 に対して条件を指定する場合 : 192.168.1.0 0.0.0.255 (10進で指定)

  • ベンダーコード 00-A0-DE---* に対して条件を指定する場合: 00A0.DE00.0000 0000.00FF.FFFF (16進で指定)

3. 機能詳細

3.1. アクセスリストの生成

アクセスリストは、IPv4アクセスリスト、IPv6アクセスリスト、MACアクセスリストのそれぞれで 最大28個 生成することができます。
アクセスリストは、1つのリストに対して制御条件を 最大128件 登録することができます。
登録した制御条件を満たさなかった場合、通常どおり転送処理されます。

3.2. インターフェースへの適用

本製品のインターフェースに対するアクセスリストの適用状況は、下表のようになっています。
なお、インターフェースに対して適用可能なアクセスリストは 1つ です。

アクセスリストの種類

LANポート

VLANインターフェース

論理インターフェース

in

out

in

out

in

out

IPv4アクセスリスト

×

×

×

×

×

IPv6アクセスリスト

×

×

×

×

×

MACアクセスリスト

×

×

×

×

×

インターフェースに適用できるアクセスリストの数は、アクセスリストに登録されている制御条件の数に依存します。
システム全体で使用可能な制御条件の数は IPv4とMACの合計で最大896件、IPv6で最大384件 です。
インターフェースにアクセスリストを適用させると "アクセスリストに登録されている制御条件の数だけ" リソースを消費します。

3.3. LANポートに対する設定

LANポートにアクセスリストを適用させる場合の手順について、以下に示します。

  1. フィルタリング条件を決め、アクセスリストを生成します。

    • 必要に応じて、名前を付けてください。

  2. アクセスリストを確認します。

  3. LANポートにアクセスリストを適用します。

  4. 適用したアクセスリストを確認します。

以下に操作コマンドの一覧を示します。

  • アクセスリスト操作コマンド

    アクセスリストの
    種類
    アクセスリストの
    生成
    アクセスリストの
    確認
    アクセスリストの
    適用
    適用アクセスリストの
    確認

    IPv4アクセスリスト

    access-list

    show access-list

    access-group

    show access-group

    IPv6アクセスリスト

    access-list

    show access-list

    access-group

    show access-group

    MACアクセスリスト

    access-list

    show access-list

    access-group

    show access-group

4. 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。

操作項目 操作コマンド

IPv4アクセスリストの生成

access-list

IPv4アクセスリストのコメント追加

access-list description

IPv4アクセスリストの適用

access-group

IPv6アクセスリストの生成

access-list

IPv6アクセスリストのコメント追加

access-list description

IPv6アクセスリストの適用

access-group

MACアクセスリストの生成

access-list

MACアクセスリストのコメント追加

access-list description

MACアクセスリストの適用

access-group

生成したアクセスリストの表示

show access-list

インターフェースに適用したアクセスリストの表示

show access-group

5. コマンド実行例

5.1. IPv4アクセスリストの設定

■ホスト指定

LANポート #1 に対して、ホスト: 192.168.1.1 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を IPV4-ACL-EX を追加します。

  1. アクセスリスト #123 を生成し、確認します。

    Yamaha(config)#access-list 123 permit host 192.168.1.1 (1)
    Yamaha(config)#access-list 123 deny any
    Yamaha(config)#access-list 123 description IPV4-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 123 (3)
    IPv4 access list 123
        10 permit host 192.168.1.1
        20 deny any
    Yamaha#
    1 アクセスリストの生成
    2 アクセスリストに名前を付ける
    3 アクセスリストの確認
  2. LANポート #1アクセスリスト #123 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 123 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : IPv4 access group 123 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

■ネットワーク指定

LANポート #1 に対して、ネットワーク: 192.168.1.0/24 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #123 とし、アクセスリストの名前を IPV4-ACL-EX を追加します。

  1. アクセスリスト #123 を生成し、確認します。

    Yamaha(config)#access-list 123 permit 192.168.1.0 0.0.0.255 (1)
    Yamaha(config)#access-list 123 deny any
    Yamaha(config)#access-list 123 description IPV4-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show ip access-list (3)
    IPv4 access list 123
        10 permit 192.168.1.0/24
        20 deny any
    Yamaha#
    1 アクセスリストの生成
    2 アクセスリストに名前を付ける
    3 ACLの確認
  2. LANポート #1アクセスリスト #123 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 123 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : IPv4 access group 123 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

5.2. IPv6アクセスリストの設定

■ホスト指定

LANポート #1 に対して、ホスト: 2001:db8::1 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの名前を IPV6-ACL-EX とします。

  1. アクセスリスト #3001 を生成し、確認します。

    Yamaha(config)#access-list 3001 permit 2001:db8::1/128 (1)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#access-list 3001 description IPV6-ACL-EX (2)
    Yamaha(config)#end
    
    Yamaha# show access-list 3001 (3)
    IPv6 access list 3001
        10 permit 2001:db8::1/128
        20 deny any
    1 アクセスリストの生成
    2 アクセスリストに名前を付ける
    3 アクセスリストの確認
  2. LANポート #1アクセスリスト #3001 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 3000 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : IPv6 access group 3001 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

■ネットワーク指定

LANポート #1 に対して、ネットワーク: 2001:db8::/64 からのアクセスのみ許可するように設定します。
使用するアクセスリストのIDは、 #3001 とし、アクセスリストの名前を IPV6-ACL-EX とします。

  1. アクセスリスト #3001 を生成し、確認します。

    Yamaha(config)#access-list 3001 permit 2001:db8::/64 (1)
    Yamaha(config)#access-list 3001 deny any
    Yamaha(config)#access-list 3001 description IPV6-ACL-EX (2)
    Yamaha(config)#end
    
    Yamaha# show access-list 3001 (3)
    IPv6 access list 3001
        10 permit 2001:db8::/64
        20 deny any
    1 アクセスリストの生成
    2 アクセスリストに名前を付ける
    3 アクセスリストの確認
  2. LANポート #1アクセスリスト #3001 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 3001 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : IPv6 access group 3001 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

5.3. MACアクセスリストの設定

■ホスト指定

LANポート #1 に対して、ホスト: 00-A0-DE-12-34-56 からのアクセスのみ拒否し、それ以外を許可します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの名前を MAC-ACL-EX を追加します。

  1. アクセスリスト #2001 を生成し、確認します。

    Yamaha(config)#access-list 2001 deny host 00a0.de12.3456 (1)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 2001 (3)
    MAC access list 2001
        10 deny host 00A0.DE12.3456
    1 アクセスリストの生成
    2 アクセスリストの名前の設定
    3 アクセスリストの確認
  2. LANポート #1アクセスリスト #2001 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 2001 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : MAC access group 2001 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

■ベンダー指定

LANポート #1 に対して、ベンダーコード: 00-A0-DE---* (00-A0-DE-00-00-00 ~ 00-A0-DE-FF-FF-FF) からのアクセスのみ拒否し、それ以外を許可します。
使用するアクセスリストのIDは、 #2001 とし、アクセスリストの名前を MAC-ACL-EX を追加します。

  1. アクセスリスト #2001 を生成し、確認します。

    Yamaha(config)#access-list 2001 deny 00a0.de00.0000 0000.00ff.ffff (1)
    Yamaha(config)#access-list 2001 description MAC-ACL-EX (2)
    Yamaha(config)#end
    Yamaha#
    Yamaha#show access-list 2001 (3)
    MAC access list 2001
        10 deny 00A0.DE00.0000 0000.00FF.FFFF
    1 アクセスリストの生成
    2 アクセスリストの名前の設定
    3 アクセスリストの確認
  2. LANポート #1アクセスリスト #2001 を適用します。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#access-group 2001 in (1)
    Yamaha(config-if)#end
    Yamaha#
    Yamaha#show access-group (2)
    Interface port1.1 : MAC access group 2001 in
    1 アクセスリストの適用
    2 アクセスリストの設定確認

6. 注意事項

  • 論理インターフェースに所属しているLANポートにアクセスリストが適用されている場合、論理インターフェースの最若番の所属ポートに適用されている設定が、他の所属ポートにも適用されます。