UnixPower on Networking
  http://www.unix-power.net/

 
 Top - Cisco - Catalyst RACL / VACL / PACL




■アクセス制御


Catalyst IOSのACLにはRACL ( Router ACL ) 、VACL ( VLAN ACL )、PACL ( Port ACL )の3種類があります。RACLはルーティング ( レイヤ3転送 )のときにのみ適用されるACLです。同じVLANの中でブリッジング ( レイヤ2転送 )にはRACLは関係しません。代わりにブリッジングにはVACLが適用されます。これはVLANを経由してルーティングする場合にも関係します。PACLはVACLに似ていますが、VLANではなく物理ポートを対象にしている点が異なります。

これら3種類を以下にまとめます。


項目 設定箇所  適用時  方向  レイヤ2  レイヤ3  レイヤ4 
RACL
( Router ACL ) 
レイヤ3ポート ルーティング in / out × ○  ○ 
VACL
( VLAN ACL )
VLAN  ブリッジング
ルーティング
in ○  ○ 
PACL
( Port ACL )
レイヤ2ポート ルーティング
ブリッジング
in ○  ○  ○ 


ACLの判断の対象になるヘッダ情報は以下に示すようレイヤごとに異なります。

項目 値 
レイヤ2  Macアドレス、EtherType、CoS値 
レイヤ3  IPアドレス、ToS値 
レイヤ4  ポート番号、フラグ 


RACLはレイヤ3のみ、VACLはレイヤ2のみが対象となるように思われがちですが、別のレイヤ情報を指定することも可能です。このためVACLでは同じVLANの中でブリッジングについてもレイヤ3やレイヤ4の情報に基づいてACLをかけることができます。この機能により同じVLANに属するホスト同士でHTTPのみ拒否するといった設定が可能となります。

■RACLの設定例

RACLはCiscoIOSルータと同じACLで最もわかりやすいACLです。レイヤ3インターフェイス ( ルーテッドポート、SVI、L3 EtherChannel ) に適用することができ、受信時 ( Input ) と送信時 ( Output ) の2種類があります。以下、設定例です。




SVI100から入ってきてルーティングされるIPパケットにRACLを適用するため、このインターフェイスにはInputを指定してアクセスグループを定義しています。またSVI200には192.168.1.1というIPアドレスへのパケットのみを許可するRACLを設定するためにoutputが指定されています。このRACLは他のレイヤ3インターフェイスから入ってきてルーティングされSVI200から出て行くパケットに適用されます。

但し、outputでACLを適用するのはあまり一般的ではなく機種によってはCPU負荷が跳ね上がるケースもありますのでなるべくinputで適用することをお勧めいたします。


interface Vlan100
 ip access-group 100 in

interface Vlan200
 ip access-group 101 out

access-list 100 permit tcp any any eq www
access-list 101 permit ip any host 192.168.1.1


■VACLの設定例

VACLはブリッジングの際に適用されるACLです。また、ルーティングされてVLANを経由するフレームやパケットに適用されます。RACLと異なりVACLにはInputやOutputの選択肢はなくInputのみです。すなわちVACLを設定したVLANにフレームが入ってくるときにだけ適用され出て行くフレームは対象外となります。

以下はHTTPプロトコルのみ拒否しその他のパケットは全て許可する例です。




VACLを設定したVLANにSVI経由でルーティングされて入ってきたパケットにもVACLは適用されます。この例ではVLAN100に属する物理ポートおよびルーティングされてSVI100からVLAN100を経由して外へ出て行くIPパケットについてもHTTPプロトコルが拒否されるようになっています。

ip access-list extended deny-http
 deny tcp any any eq www
ip access-list extended match_all
 permit ip any any

vlan access-map VACL 10
 match ip address deny-http
 action drop
vlan access-map VACL 20
 match ip address match_all ※省略可能
 action forward

 vlan filter VACL vlan-list 100

■PACLの設定例

PACLはスイッチポートから入ってくるフレームに適用されます。レイヤ2かつInputのみである点はVACLに似ていますがVLANだけでなく物理ポートに適用される点が大きく異なります。以下、Gi0/1にHTTPのみ許可してGi0/3にDECNetのみを拒否するPACLの例です。




interface Gi0/1
 ip access-group 100 in

interface Gi0/3
 mac access-group deny-decnet in

access-list 100 permit tcp any any eq www

mac access-list extended deny-decnet
 deny any any decnet-iv
 permit any any


■RACLとVACLの併用


RACLとVACLは併用することができます。以下、設定例です。




この例ではGi0/1から入ってきたパケットがSVI100からSVI200へルーティングされた後、Gi0/2に抜けていきます。ここに設定された4つのACLは図のような順序で適用されます。但し、SVIの代わりにルーテッドポートにRACLを設定している場合はVLANとは無関係のためVACLは適用されません。


 Copyright(C) 2003-2015 UnixPower on Networking All rights reserved.