2013.11.06 (Wed)
CiscoスイッチのACL(アクセスコントロールリスト)についてメモ
■CiscoのACLの種類
●Router ACL (RACL)
SVI、物理レイヤ3 インタフェース、レイヤ3 EtherChannelインタフェースに、
RACL を適用することができる。
RACL はインタフェースの特定の方向(input 側またはoutput側)に対して適用される。
1 つのインタフェースの各方向ごとに、RACL を1 つ適用することができます。
レイヤ3 インタフェースでは、標準アクセスリスト、拡張アクセスリストをサポートしている。
MAC アクセスリストはサポートされない。
●Port ACL (PACL)
PACL は、スイッチのレイヤ2 インタフェースに適用されるACL 。
PACL を使用できるのは、物理インタフェースだけ。
EtherChannel インタフェースでは使用不可
インタフェースに適用できるのは、input 方向に対してのみ。
レイヤ2 インタフェースでは、標準アクセスリスト、拡張アクセスリスト、拡張MAC アクセスリストをサポートしている。
●VLAN ACL (VACL)
VLAN ACL は、VLAN マップを使用してトラフィック制御を行う。
すべてのパケット(ブリッジドパケットおよびルーテッドパケット)に対してアクセス制御が可能。
VLAN マップを使用すると、同じVLAN 内のデバイス間で転送されるトラフィックをフィルタリングすることが可能。
ただし、IP トラフィックにMAC ACL を適用する事はできない。
VLAN マップは、IP のレイヤ3 アドレスに基づいてアクセス制御するように設定されている。
■ACLがソフトウエア処理(CPU 処理)となってしまう事象
ACL は主にハードウェアで処理されるが、
一部のトラフィックはCPU に転送してソフトウェア処理する必要がある。
ソフトウェアで転送されるトラフィックの転送速度は、
ハードウェアで転送されるトラフィックに比べて大幅に低下する。
CPU使用率も大幅に上昇する。
例)
●logオプションを使用した場合
※VACL 及びPACL では、logオプション自体をサポートしていない。
●ICMP Unreachable の処理
パケットがACL によって拒否された場合、
デフォルトでは、ルータはICMP Unreachable メッセージを返す。
拒否されたパケットはハードウェアで廃棄されず、
スイッチのCPU にブリッジングされて、ICMPUnreachableメッセージを生成する。
●ACL の設定量がハードウェア処理の限界に達した(TCAM 容量を超えた) 場合
TCAMのリソースが溢れるとハードウェアで処理できなくなる。
ACL は、インタフェースまたは、VLAN に適用した時点でリソースを消費し始める。
※リソースの使用状況は、show platform acl usage にて確認可能。
よろしければクリックをお願いします。
ブログ王ランキングに参加中!
■CiscoのACLの種類
●Router ACL (RACL)
SVI、物理レイヤ3 インタフェース、レイヤ3 EtherChannelインタフェースに、
RACL を適用することができる。
RACL はインタフェースの特定の方向(input 側またはoutput側)に対して適用される。
1 つのインタフェースの各方向ごとに、RACL を1 つ適用することができます。
レイヤ3 インタフェースでは、標準アクセスリスト、拡張アクセスリストをサポートしている。
MAC アクセスリストはサポートされない。
●Port ACL (PACL)
PACL は、スイッチのレイヤ2 インタフェースに適用されるACL 。
PACL を使用できるのは、物理インタフェースだけ。
EtherChannel インタフェースでは使用不可
インタフェースに適用できるのは、input 方向に対してのみ。
レイヤ2 インタフェースでは、標準アクセスリスト、拡張アクセスリスト、拡張MAC アクセスリストをサポートしている。
●VLAN ACL (VACL)
VLAN ACL は、VLAN マップを使用してトラフィック制御を行う。
すべてのパケット(ブリッジドパケットおよびルーテッドパケット)に対してアクセス制御が可能。
VLAN マップを使用すると、同じVLAN 内のデバイス間で転送されるトラフィックをフィルタリングすることが可能。
ただし、IP トラフィックにMAC ACL を適用する事はできない。
VLAN マップは、IP のレイヤ3 アドレスに基づいてアクセス制御するように設定されている。
■ACLがソフトウエア処理(CPU 処理)となってしまう事象
ACL は主にハードウェアで処理されるが、
一部のトラフィックはCPU に転送してソフトウェア処理する必要がある。
ソフトウェアで転送されるトラフィックの転送速度は、
ハードウェアで転送されるトラフィックに比べて大幅に低下する。
CPU使用率も大幅に上昇する。
例)
●logオプションを使用した場合
※VACL 及びPACL では、logオプション自体をサポートしていない。
●ICMP Unreachable の処理
パケットがACL によって拒否された場合、
デフォルトでは、ルータはICMP Unreachable メッセージを返す。
拒否されたパケットはハードウェアで廃棄されず、
スイッチのCPU にブリッジングされて、ICMPUnreachableメッセージを生成する。
●ACL の設定量がハードウェア処理の限界に達した(TCAM 容量を超えた) 場合
TCAMのリソースが溢れるとハードウェアで処理できなくなる。
ACL は、インタフェースまたは、VLAN に適用した時点でリソースを消費し始める。
※リソースの使用状況は、show platform acl usage にて確認可能。
よろしければクリックをお願いします。
ブログ王ランキングに参加中!
スポンサーサイト
| HOME |