目次
概要
Ciscoルータだけでなく、Catalystスイッチでもパケットフィルタリングによって、通信を制御できます。Catalystスイッチのパケットフィルタリングについて解説します。
なお、このページはVLANおよびアクセスポート/トランクポート/SVI/ルーテッドポートについての理解を前提としています。
関連記事
レイヤ3スイッチのアクセスポート/トランクポート/SVI/ルーテッドポートについて、以下の記事もあわせてご覧ください。
3つのパケットフィルタリング RACL/VACL/PACL
Catalystスイッチでパケットフィルタリングを行うには、以下の3つの設定方法があります。
- RACL(Router Access Control List)
- VACL(VLAN Access Control List)
- PACL(Port Access Control List)
これらのパケットフィルタリングの主な違いはフィルタを適用するタイミングです。また、通信を特定するための条件の設定も違ってきます。
RACL
RACLは、IP ACLでフィルタする通信を特定し、特定した通信に対するpermit|denyの動作を設定します。つまり、IPヘッダおよびTCP/UDPヘッダを参照して通信を特定して、permitまたはdenyを決めます。
RACLは、レイヤ3のインタフェースでパケットフィルタリングを行います。すなわち、SVIまたはルーテッドポートで、IP ACLを適用します。適用方向はインとアウト両方できます。
VACL
VACLでフィルタ対象の通信を特定してその通信に対する動作の設定には、ルートマップに似たVLANアクセスマップを利用します。VLANアクセスマップの中でIP ACLまたはMAC ACLを参照できます。
そしてVLANアクセスマップを、VLANに対して適用します。適用する方向はインのみです。
PACL
PACLではフィルタ対象の通信を特定して、その動作を決めるためにIP ACLまたはMAC ACLを利用します。MAC ACLは通信を特定するためにイーサネットヘッダの条件を設定できます。
そして、IP ACLまたはMAC ACLをスイッチポートへ適用します。スイッチポートとは、アクセスポートまたはトランクポートです。PACLの適用する方向はインです。
3つのパケットフィルタリング RACL/VACL/PACLのまとめ
RACL/VACL/PACLで通信を特定するために参照する情報とフィルタのタイミングをまとめておきましょう。
フィルタ方法 | 通信の特定 | フィルタタイミング |
---|---|---|
RACL | IP ACL(標準/拡張) –IP/TCP/UDPヘッダ | SVI ルーテッドポート |
VACL | VLANアクセスマップでIP ACLまたはMAC ACLを参照 | VLAN |
PACL | IP ACL –IP/TCP/UDPヘッダ MAC ACL –イーサネットヘッダ | スイッチポート |
セキュリティの基礎
- SSLとWi-Fiの暗号化の違い
- セキュリティの目的 ~機密性/完全性/可用性~
- セキュリティの脅威と対策の概要
- マルウェア ~ユーザにとって有害なソフトウェア~
- 認証の基礎 ~正規のユーザ/デバイスですか?~
- 覚えやすくて推測されにくい安全なパスワードの作り方
- 暗号化の概要
- ハッシュ関数とは
- SSLとは? ~アクセス先は本物です!データは盗聴/改ざんされません!~
- ファイアウォールの概要 ~正規の通信のみを転送~
- IDS/IPS ~不正アクセス対策~
- Cisco アクセスコントロールリストの概要
- パケットフィルタ ~不正な通信をブロックするCisco ACLの最も多い用途~
- SPI(Stateful Packet Inspection)の概要
- Cisco ACLによるパケットフィルタの設定と確認
- 名前付きACL(Named ACL)
- タイムベース(Time-based)ACL
- Cisco ACLによるパケットフィルタの設定例
- 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ~標準ACL~
- 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ~拡張ACL~
- リフレクシブ(Reflexive)ACL ~戻りの通信を自動的に許可~
- リフレクシブ(Reflexive)ACLの設定例
- Catalystスイッチのパケットフィルタリング RACL/VACL/PACL
- RACL/VACL/PACLの設定と確認コマンド
- uRPFの設定例
- VTYアクセス制御
- DHCPスプーフィング ~DHCPサーバを偽装~
- DHCPスヌーピング
- Cisco DHCPスヌーピングの設定と確認コマンド
- Cisco DHCPスヌーピングの設定例
- ARPスプーフィング
- Dynamic ARP Inspection
- Cisco Dynamic ARP Inspectionの設定と確認コマンド
- TCPインターセプトの設定例
- WAF(Web Application Firewall)の概要
- 電子メールのセキュリティ