概要

Ciscoルータだけでなく、Catalystスイッチでもパケットフィルタリングによって、通信を制御できます。Catalystスイッチのパケットフィルタリングについて解説します。

なお、このページはVLANおよびアクセスポート/トランクポート/SVI/ルーテッドポートについての理解を前提としています。

3つのパケットフィルタリング RACL/VACL/PACL

Catalystスイッチでパケットフィルタリングを行うには、以下の3つの設定方法があります。

  • RACL(Router Access Control List)
  • VACL(VLAN Access Control List)
  • PACL(Port Access Control List)

これらのパケットフィルタリングの主な違いはフィルタを適用するタイミングです。また、通信を特定するための条件の設定も違ってきます。

RACL

RACLは、IP ACLでフィルタする通信を特定し、特定した通信に対するpermit|denyの動作を設定します。つまり、IPヘッダおよびTCP/UDPヘッダを参照して通信を特定して、permitまたはdenyを決めます。

RACLは、レイヤ3のインタフェースでパケットフィルタリングを行います。すなわち、SVIまたはルーテッドポートで、IP ACLを適用します。適用方向はインとアウト両方できます。

図 RACL
図 RACL

VACL

VACLでフィルタ対象の通信を特定してその通信に対する動作の設定には、ルートマップに似たVLANアクセスマップを利用します。VLANアクセスマップの中でIP ACLまたはMAC ACLを参照できます。

そしてVLANアクセスマップを、VLANに対して適用します。適用する方向はインのみです。

図 VACL
図 VACL

PACL

PACLではフィルタ対象の通信を特定して、その動作を決めるためにIP ACLまたはMAC ACLを利用します。MAC ACLは通信を特定するためにイーサネットヘッダの条件を設定できます。

そして、IP ACLまたはMAC ACLをスイッチポートへ適用します。スイッチポートとは、アクセスポートまたはトランクポートです。PACLの適用する方向はインです。

図 PACL
図 PACL

3つのパケットフィルタリング RACL/VACL/PACLのまとめ

RACL/VACL/PACLで通信を特定するために参照する情報とフィルタのタイミングをまとめておきましょう。

フィルタ方法通信の特定フィルタタイミング
RACLIP ACL(標準/拡張)
–IP/TCP/UDPヘッダ
SVI ルーテッドポート
VACLVLANアクセスマップでIP ACLまたはMAC ACLを参照VLAN
PACLIP ACL
–IP/TCP/UDPヘッダ
MAC ACL
–イーサネットヘッダ
スイッチポート
表 RACL/VACL/PACLのまとめ
図 RACL/VACL/PACLのまとめ
図 RACL/VACL/PACLのまとめ

セキュリティの基礎