fc2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

CiscoスイッチのACL(アクセスコントロールリスト)について

2013.11.06 (Wed)
CiscoスイッチのACL(アクセスコントロールリスト)についてメモ

CiscoACLの種類


●Router ACL (RACL)

SVI、物理レイヤ3 インタフェース、レイヤ3 EtherChannelインタフェースに、
RACL を適用することができる。
RACL はインタフェースの特定の方向(input 側またはoutput側)に対して適用される。
1 つのインタフェースの各方向ごとに、RACL を1 つ適用することができます。
レイヤ3 インタフェースでは、標準アクセスリスト、拡張アクセスリストをサポートしている。
MAC アクセスリストはサポートされない。



●Port ACL (PACL)

PACL は、スイッチのレイヤ2 インタフェースに適用されるACL 。
PACL を使用できるのは、物理インタフェースだけ。
EtherChannel インタフェースでは使用不可
インタフェースに適用できるのは、input 方向に対してのみ。
レイヤ2 インタフェースでは、標準アクセスリスト、拡張アクセスリスト、拡張MAC アクセスリストをサポートしている。



●VLAN ACL (VACL)

VLAN ACL は、VLAN マップを使用してトラフィック制御を行う。
すべてのパケット(ブリッジドパケットおよびルーテッドパケット)に対してアクセス制御が可能。
VLAN マップを使用すると、同じVLAN 内のデバイス間で転送されるトラフィックをフィルタリングすることが可能。
ただし、IP トラフィックにMAC ACL を適用する事はできない。
VLAN マップは、IP のレイヤ3 アドレスに基づいてアクセス制御するように設定されている。







■ACLがソフトウエア処理(CPU 処理)となってしまう事象


ACL は主にハードウェアで処理されるが、
一部のトラフィックはCPU に転送してソフトウェア処理する必要がある。
ソフトウェアで転送されるトラフィックの転送速度は、
ハードウェアで転送されるトラフィックに比べて大幅に低下する。
CPU使用率も大幅に上昇する。


例)

●logオプションを使用した場合

VACL 及びPACL では、logオプション自体をサポートしていない。


●ICMP Unreachable の処理


パケットがACL によって拒否された場合、
デフォルトでは、ルータはICMP Unreachable メッセージを返す。
拒否されたパケットはハードウェアで廃棄されず、
スイッチのCPU にブリッジングされて、ICMPUnreachableメッセージを生成する。


●ACL の設定量がハードウェア処理の限界に達した(TCAM 容量を超えた) 場合

TCAMのリソースが溢れるとハードウェアで処理できなくなる。
ACL は、インタフェースまたは、VLAN に適用した時点でリソースを消費し始める。

※リソースの使用状況は、show platform acl usage にて確認可能。



よろしければクリックをお願いします。
にほんブログ村 IT技術ブログ ネットワーク・SEへブログ王ランキングに参加中!
スポンサーサイト



 | HOME |