|
◆ VACL(VLAN access-list)とは
VACLとは、VLANに着信するトラフィックに適用できるACLのことです。VLAN内部でブリッジングされる
トラフィックや、VLAN間でルーティングされるトラフィックなど、VLANに着信してくるトラフィックに
対してACLでフィルタリングできます。L2経由、L3経由に関係なく、VLANに着信するトラフィックが対象。
VACLには「IPアクセスリスト」と「MACアクセスリスト」の大きく2種類のACLがあります。
| 2種類のVACL |
説明 |
| IPアクセスリスト |
IPv4パケット、IPv6パケットをフィルタリングする標準、拡張、名前付きACL |
| MACアクセスリスト |
イーサネットフレームのフィールドに基づいてIP以外のパケットをフィルタリングするACL |
◆ VACL(VLAN access-list)- コンフィグ設定
VACLは大きく3つのステップで設定します。注意点として、Step1ではACLエントリを定義しますが、
ここでトラフィックの許可、拒否ではなく、どのようなトラフィックを対象にするかの定義となります。
そして、対象トラフィックを転送するか(forward)破棄するか(drop)は、Step2により定義します。
Step1:IPアクセスリストまたはMACアクセスリストで対象トラフィックの指定
(config)# access-list number [ permit | deny ] protocol source-ip port destination-ip port
(config)# mac access-list extended acl-name
(config-ext-macl)# permit [ host source-mac | any ] [ host dest-mac | any ]
Step2:VACLの定義(VLANに対する転送、破棄する条件を指定)
(config)# vlan access-map map-name [ sequence-number ]
(config-access-map)# match [ mac | ip ] address acl-number | acl-name
(config-access-map)# action [ drop [ log ] | forward ]
| コマンド引数 |
説明 |
| sequence-number |
VACLの行番号。指定しない場合、10、20の順番で10ごとに行番号が割り振られる。 |
| acl-number | acl-name |
Step1で作成したACL番号またはACL名を指定。 |
| drop |
トラフィックを破棄。logオプションを付加するとドロップパケットをロギングする。 |
| forward |
トラフィックを転送。 |
上記の3行の設定コマンドが1つのVACLです。VACLの2行目でmatchコマンドを指定しない場合、match any
と同じ定義となり全てのトラフィックが対象となります。VACLの3行目には「暗黙のdrop」が存在しており、
matchコマンドで合致しなかったトラフィックは、それがforward対象でなければ全てdrop(破棄)されます。
Step3:VACLのVLANへの適用
(config)# vlan filter map-name vlan-list vlan-id
設定例は、宛先ネットワーク 10.1.1.0/24 (VLAN100)に対し、送信元IPアドレス「192.168.1.0/24」と
送信元MACアドレス「0000.aaaa.1111」からのトラフィックをドロップして、それ以外は全て許可します。
Catalyst(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any
Catalyst(config)# mac access-list extended DBSV
Catalyst(config-ext-macl)# permit host 0000.aaaa.1111 any
Catalyst(config)# vlan access-map V-MAP 10
Catalyst(config-access-map)# match ip address 101
Catalyst(config-access-map)# action drop
Catalyst(config)# vlan access-map V-MAP 20
Catalyst(config-access-map)# match mac address DBSV
Catalyst(config-access-map)# action drop
Catalyst(config)# vlan access-map V-MAP 30
Catalyst(config-access-map)# action forward
Catalyst(config)# vlan filter V-MAP vlan-list 100
|
※ VACLのステータスは「 show vlan access-map、show vlan filter、show access-lists
」コマンドで確認できます。
設定例では宛先ネットワーク 10.1.1.0/24 (VLAN100)に対して適用するVACLとなっていますが、これを
宛先ネットワーク 10.1.1.0/24 (VLAN100)と 10.1.2.0/24 (VLAN200)に適用したい場合には、複数
のVLANを vlan filter コマンドで適用します。⇒ Catalyst(config)# vlan filter V-MAP vlan-list 100, 200
|