第4編
レイヤー2

アクセスリストの構成例と設定例

アクセスリストを利用する場合の構成例と設定例を示します。

特定のICMP Echo Requestを破棄する場合

ポート1/0/1で受信したIPv4パケットにおいて、192.168.1.100から192.168.1.200へ送信されたICMPメッセージ「Echo Request」を破棄する場合の構成例と設定例を示します。

特定のICMP Echo Requestを破棄する場合の構成例

  • 拡張IPアクセスリスト[ip_ex_test]を作成します。
    sw1# configure terminal
    sw1(config)# ip access-list extended ip_ex_test
    sw1(config-ip-ext-acl)#
  • パケットの中継を拒否して破棄する以下のルールを設定します。

    エントリー10(拒否):ICMPプロトコル、送信元IPアドレス[192.168.1.100]、宛先IPアドレス[192.168.1.200]、ICMPメッセージ[echo]

    sw1(config-ip-ext-acl)# deny icmp host 192.168.1.100 host 192.168.1.200 echo
    sw1(config-ip-ext-acl)# exit
    sw1(config)#
  • 設定した拡張IPアクセスリストを、ポート1/0/1に受信方向で適用します。
    sw1(config)# interface port 1/0/1
    sw1(config-if-port)# ip access-group ip_ex_test in
    sw1(config-if-port)# end
    sw1#

DHCPサーバー宛てのDHCPパケットを破棄する場合

ポート1/0/4で受信したIPv4パケットにおいて、DHCPサーバー宛てのDHCPパケット(UDPプロトコル、宛先L4ポート番号 bootps(67))を破棄する場合の構成例と設定例を示します。

DHCPサーバー宛てのDHCPパケットを破棄する場合の構成例

  • 拡張IPアクセスリスト[udp_67_deny]を作成します。
    sw1# configure terminal
    sw1(config)# ip access-list extended udp_67_deny
    sw1(config-ip-ext-acl)#
  • パケットの中継を拒否して破棄する以下のルールを設定します。

    エントリー10(拒否):UDPプロトコル、宛先L4ポート番号[bootps(67)]

    sw1(config-ip-ext-acl)# deny udp any any eq bootps
    sw1(config-ip-ext-acl)# exit
    sw1(config)#
  • 設定した拡張IPアクセスリストを、ポート1/0/4に受信方向で適用します。
    sw1(config)# interface port 1/0/4
    sw1(config-if-port)# ip access-group udp_67_deny in
    sw1(config-if-port)# end
    sw1#

特定のtelnetパケットを破棄する場合

ポート1/0/1で受信したIPv4パケットにおいて、192.168.1.100から192.168.1.200へ送信されたtelnetパケット(TCPプロトコル、宛先L4ポート番号 telnet(23))を破棄する場合の構成例と設定例を示します。

特定のtelnetパケットを破棄する場合の構成例

  • 拡張IPアクセスリスト[tcp_23_deny]を作成します。
    sw1# configure terminal
    sw1(config)# ip access-list extended tcp_23_deny
    sw1(config-ip-ext-acl)#
  • パケットの中継を拒否して破棄する以下のルールを設定します。

    エントリー10(拒否):TCPプロトコル、送信元IPアドレス[192.168.1.100]、宛先IPアドレス[192.168.1.200]、宛先L4ポート番号[telnet(23)]

    sw1(config-ip-ext-acl)# deny tcp host 192.168.1.100 host 192.168.1.200 eq telnet
    sw1(config-ip-ext-acl)# exit
    sw1(config)#
  • 設定した拡張IPアクセスリストを、ポート1/0/1に受信方向で適用します。
    sw1(config)# interface port 1/0/1
    sw1(config-if-port)# ip access-group tcp_23_deny in
    sw1(config-if-port)# end
    sw1#

中継するARPパケットを破棄する場合

ポート1/0/1で受信した非IPパケットにおいて、中継するARPパケットを破棄する場合の構成例と設定例を示します。

中継するARPパケットを破棄する場合の構成例

  • 拡張MACアクセスリスト[arp_deny]を作成します。
    sw1# configure terminal
    sw1(config)# mac access-list extended arp_deny
    sw1(config-mac-ext-acl)#
  • パケットの中継を拒否して破棄する以下のルールを設定します。

    エントリー10(拒否):イーサタイプ[0x806]、マスク[0xffff]

    sw1(config-mac-ext-acl)# deny any any ethernet-type 0x806 0xffff
    sw1(config-mac-ext-acl)# exit
    sw1(config)#
  • 設定した拡張MACアクセスリストを、ポート1/0/1に受信方向で適用します。
    sw1(config)# interface port 1/0/1
    sw1(config-if-port)# mac access-group arp_deny in
    sw1(config-if-port)# end
    sw1#

CPUアクセスリストの設定例

ポート1/0/1~ポート1/0/3で受信したIPv4パケットにおいて、192.0.2.100と192.0.2.150から送信されたICMPパケットのうち、CPU宛てに中継されるトラフィックに対して、CPU宛て中継を拒否する場合の設定例を示します。

  • 拡張IP CPUアクセスリスト[Example-DENY-ICMP]
  • 送信元IPアドレス[192.0.2.100]からのICMPパケットのCPU宛て中継を拒否
  • 送信元IPアドレス[192.0.2.150]からのICMPパケットのCPU宛て中継を拒否
  • CPUアクセスリストを適用するポートは、ポート1/0/1からポート1/0/3
  • 拡張IP CPUアクセスリスト[Example-DENY-ICMP]を作成し、以下のルールを設定します。

    エントリー10(cpu-deny):ICMPプロトコル、送信元IPアドレス[192.0.2.100]

    エントリー20(cpu-deny):ICMPプロトコル、送信元IPアドレス[192.0.2.150]

    sw1# configure terminal 
    sw1(config)# ip-cpu access-list extended Example-DENY-ICMP
    sw1(config-ip-cpu-ext-acl)# 10 cpu-deny icmp host 192.0.2.100 any 
    sw1(config-ip-cpu-ext-acl)# 20 cpu-deny icmp host 192.0.2.150 any 
    sw1(config-ip-cpu-ext-acl)# exit
    sw1(config)#
  • 設定した拡張IP CPUアクセスリストをポート1/0/1からポート1/0/3に適用します。
    sw1(config)# interface range port 1/0/1-3
    sw1(config-if-port-range)# ip-cpu access-group Example-DENY-ICMP
    
    The remaining applicable IP-CPU related access entries are 3070
    sw1(config-if-port-range)# end
    sw1#
  • 実施後のアクセスリスト関連の設定を以下に抜粋します。
    # ACL
    
    ip-cpu access-list extended Example-DENY-ICMP 18999
     10 cpu-deny icmp host 192.0.2.100 any
     20 cpu-deny icmp host 192.0.2.150 any 
    interface port 1/0/1
     ip-cpu access-group Example-DENY-ICMP 
    interface port 1/0/2
     ip-cpu access-group Example-DENY-ICMP 
    interface port 1/0/3
     ip-cpu access-group Example-DENY-ICMP

VLANアクセスマップの設定例

VLAN 5(ポート1/0/1、ポート1/0/2)で受信したIPv4パケットにおいて、「192.168.5.0/24から送信されたIPv4パケット」、および「192.168.100.100から192.168.200.200へ送信されたIPv4パケット」のみを許可して、それ以外のIPv4パケットを破棄する場合の構成例と設定例を示します。

VLANアクセスマップの構成例

  • VLAN 5を作成します。
    sw1# configure terminal
    sw1(config)# vlan 5
    sw1(config-vlan)# exit
    sw1(config)#
  • ポート1/0/1をアクセスポートとして設定し、アクセスポートに[VLAN 5]を割り当てます。
    sw1(config)# interface port 1/0/1
    sw1(config-if-port)# switchport access vlan 5
    sw1(config-if-port)# exit
    sw1(config)#
  • ポート1/0/2をトランクポートとして設定し、トランクポートに[VLAN 5]を割り当てます。
    sw1(config)# interface port1/0/2
    sw1(config-if-port)# switchport mode trunk
    sw1(config-if-port)# switchport trunk allowed vlan 5
    sw1(config-if-port)# exit
    sw1(config)#
  • IPアクセスリスト[v5-IPv4]を作成します。VLANアクセスマップの対象にするエントリーを以下のように設定します。

    エントリー10(許可):送信元IPアドレス[192.168.5.0 0.0.0.255]、宛先IPアドレス[any]

    エントリー20(許可):送信元IPアドレス[192.168.100.100]、宛先IPアドレス[192.168.200.200]

    sw1(config)# ip access-list v5-IPv4
    sw1(config-ip-acl)# 10 permit 192.168.5.0 0.0.0.255 any
    sw1(config-ip-acl)# 20 permit host 192.168.100.100 host 192.168.200.200
    sw1(config-ip-acl)# exit
    sw1(config)#
  • IPアクセスリスト[v5-DENY]を作成します。VLANアクセスマップの対象にするエントリーを以下のように設定します。

    エントリー10(許可):送信元IPアドレス[any]、宛先IPアドレス[any]

    sw1(config)# ip access-list v5-DENY
    sw1(config-ip-acl)# 10 permit any any
    sw1(config-ip-acl)# exit
    sw1(config)#
  • VLANアクセスマップ[v5-ACCESSMAP]のサブマップを以下のように設定します。

    サブマップ50:アクセスリスト[v5-IPv4]、アクション[forward]

    サブマップ100:アクセスリスト[v5-DENY]、アクション[drop]

    sw1(config)# vlan access-map v5-ACCESSMAP 50
    sw1(config-access-map)# match ip address v5-IPv4
    sw1(config-access-map)# action forward
    sw1(config-access-map)# exit
    sw1(config)#
    sw1(config)# vlan access-map v5-ACCESSMAP 100
    sw1(config-access-map)# match ip address v5-DENY
    sw1(config-access-map)# action drop
    sw1(config-access-map)# exit
    sw1(config)#
  • VLAN 5にVLANアクセスマップ[v5-ACCESSMAP]を適用します。
    sw1(config)# vlan filter v5-ACCESSMAP vlan-list 5
    sw1(config)# end
    sw1#

ページトップへ