|
◆ CoPP - トラフィック分類のACLの設定例
コントロールプレーンのCPUに着信するトラフィックを制御できる機能を「CoPP」と言います。以下では
CoPPのトラフィック分類の基本ACL設定例を紹介します。なお、ポリシーが入力だけに適用されることが
前提である場合、双方向に一致するポリシーを定義する必要はありません。トラフィックはCoPPが有効な
機器への一方向だけで識別します。本解説では以下のACLの設定例を紹介します。
・ ACL 101:クリティカル トラフィックの例
・ ACL 102:重要トラフィックの例
・ ACL 103:通常トラフィックの例
・ ACL 104:不要なトラフィックの例
・ ACL 199:その他すべてのトラフィック
※ 設定例では「10.1.1.1」がCoPPが有効なCiscoデバイスとします。
※ 設定例のACLは通信の許可/拒否ではなく「分類」です。通信制限は「policy」で決定します。
※ CoPP全体の設定例は、CoPPとは - Ciscoコンフィグ設定をご参考下さい。
◆ ACL 101:クリティカル トラフィック(例:BGP通信)
・ BGPピアからCoPPが有効な機器へのBGP通信を対象とする例
Cisco(config)# access-list 101 permit tcp host 192.168.1.1 host 10.1.1.1 eq bgp
Cisco(config)# access-list 101 permit tcp host 192.168.1.1 eq bgp host 10.1.1.1
|
◆ ACL 102:重要トラフィック(例:TACACS+、SSH、SNMP、NTP通信)
・ TACACSホストからのリターントラフィックを対象
・ サブネットからCoPPが有効なCiscoデバイスへのSSHアクセスを対象
・ NMSホストからCoPPが有効なCiscoデバイスへのSNMPアクセスを対象
・ CoPPが有効なCiscoデバイスへの既知のクロックからのNTPパケットを対象
Cisco(config)# access-list 102 permit tcp host 192.168.1.2 host 10.1.1.1 established
Cisco(config)# access-list 102 permit tcp 192.168.1.0 0.0.0.255 host 10.1.1.1 eq 22
Cisco(config)# access-list 102 permit udp host 192.168.1.3 host 10.1.1.1 eq snmp
Cisco(config)# access-list 102 permit udp host 192.168.1.4 host 10.1.1.1 eq ntp
|
◆ ACL 103:通常トラフィック(例:traceroute / ping 通信)
・ CoPPが有効なCiscoデバイスからの traceroute トラフィックを対象
・ ping を発信したCoPPが有効なCiscoデバイスに応答の受信トラフィックを対象
・ CoPPが有効なCiscoデバイスへのpingパケットを対象
Cisco(config)# access-list 103 permit icmp any any ttl-exceeded
Cisco(config)# access-list 103 permit icmp any any port-unreachable
Cisco(config)# access-list 103 permit icmp any any echo-reply
Cisco(config)# access-list 103 permit icmp any any echo
|
◆ ACL 104:不要クラス用の定義(分類とモニタが目的)
・ UDPポート1434を宛先とするすべてのトラフィックをポリシング用の対象
| Cisco(config)# access-list 104 permit udp any any eq 1434 |
◆ ACL 199:その他すべてのトラフィックの定義
・ その他すべてのトラフィック用にACL199を定義する例
| Cisco(config)# access-list 199 permit ip any any |
冒頭で申し上げた通り、これらのACLは通信を許可、拒否するACLというよりも「分類のためのACL」であり
最終的なアクション(パケットの制御)はclass-mapとpolicy-mapで定義されます。設定後のステータスは
show policy-map control-planeで確認できます。
|