概要

Ciscoルータだけでなく、Catalystスイッチでもパケットフィルタリングによって、通信を制御できます。Catalystスイッチのパケットフィルタリングについて解説します。

なお、このページはVLANおよびアクセスポート/トランクポート/SVI/ルーテッドポートについての理解を前提としています。

関連記事

レイヤ3スイッチのアクセスポート/トランクポート/SVI/ルーテッドポートについて、以下の記事もあわせてご覧ください。

ネットワークのおべんきょしませんか?
 
レイヤ3スイッチのポートの考え方のまとめ ~アクセスポート/トランクポート/SVI/...
https://www.n-study.com/vlan-detail/layer3switch-port-classification/
レイヤ3スイッチのポートの考え方についてまとめています。レイヤ3スイッチ内部で、仮想ルータ、VLAN、ポートの関連付けをイメージしましょう。

3つのパケットフィルタリング RACL/VACL/PACL

Catalystスイッチでパケットフィルタリングを行うには、以下の3つの設定方法があります。

  • RACL(Router Access Control List)
  • VACL(VLAN Access Control List)
  • PACL(Port Access Control List)

これらのパケットフィルタリングの主な違いはフィルタを適用するタイミングです。また、通信を特定するための条件の設定も違ってきます。

RACL

RACLは、IP ACLでフィルタする通信を特定し、特定した通信に対するpermit|denyの動作を設定します。つまり、IPヘッダおよびTCP/UDPヘッダを参照して通信を特定して、permitまたはdenyを決めます。

RACLは、レイヤ3のインタフェースでパケットフィルタリングを行います。すなわち、SVIまたはルーテッドポートで、IP ACLを適用します。適用方向はインとアウト両方できます。

図 RACL
図 RACL

VACL

VACLでフィルタ対象の通信を特定してその通信に対する動作の設定には、ルートマップに似たVLANアクセスマップを利用します。VLANアクセスマップの中でIP ACLまたはMAC ACLを参照できます。

そしてVLANアクセスマップを、VLANに対して適用します。適用する方向はインのみです。

図 VACL
図 VACL

PACL

PACLではフィルタ対象の通信を特定して、その動作を決めるためにIP ACLまたはMAC ACLを利用します。MAC ACLは通信を特定するためにイーサネットヘッダの条件を設定できます。

そして、IP ACLまたはMAC ACLをスイッチポートへ適用します。スイッチポートとは、アクセスポートまたはトランクポートです。PACLの適用する方向はインです。

図 PACL
図 PACL

3つのパケットフィルタリング RACL/VACL/PACLのまとめ

RACL/VACL/PACLで通信を特定するために参照する情報とフィルタのタイミングをまとめておきましょう。

フィルタ方法通信の特定フィルタタイミング
RACLIP ACL(標準/拡張)
–IP/TCP/UDPヘッダ		SVI ルーテッドポート
VACLVLANアクセスマップでIP ACLまたはMAC ACLを参照VLAN
PACLIP ACL
–IP/TCP/UDPヘッダ
MAC ACL
–イーサネットヘッダ		スイッチポート
表 RACL/VACL/PACLのまとめ
図 RACL/VACL/PACLのまとめ
図 RACL/VACL/PACLのまとめ
ネットワークのおべんきょしませんか?
2022年ページビューランキング | ネットワークのおべんきょしませんか?
https://www.n-study.com/2022-pv-ranking/
2022年「ネットワークのおべんきょしませんか?」コンテンツのページビューランキングTOP10です。

ネットワーク技術解説記事のアップデートや新規記事をTwitterでお知らせしています。

CCNAを目指すなら『基礎からのCCNA(200-301)攻略テキスト』

詳細な解説と実践的な演習シナリオでスキルアップ

「ネットワークのおべんきょしませんか?」内の記事を検索

セキュリティの基礎