ひよっこエンジニアの備忘録

日常とかSEとしての備忘を書いていきます。

VACL(Vlan access-list)

[VACLとは]

VLANに着信するトラフィック(IN方向)に対して適用できるACL
L2経由、L3経由関係なく、以下のようなトラフィックをフィルタリング可能。
・VLAN内部でブリッジングされるトラフィック
・VLAN間でルーティングされるトラフィック

※通常のACLと違い送信トラフィック(OUT方向)は制御できないため注意。

[VACL設定]

VACLは、①ACL定義/②VACL定義/③VACL適用の三段階で設定する。

 ①ACL定義
 standard:
  (config)# access-list number [ permit | deny ] protocol src-ip mask
 extended:
  (config)# access-list number [ permit | deny ] protocol src-ip mask src-port dst-ip mask dst-port
 ※標準、拡張(名前付きでもOK)どちらでも設定可能。
  トラフィックの許可/拒否はVACL側で設定するため、
  この段階ではpermit/denyを意識しなくて良い。

 ②VACL定義
 (config)# vlan access-map map-name [ sequence-number ]
 (config-access-map)# match [ mac | ip ] address acl-number | acl-name
 (config-access-map)# action [ drop [ log ] | forward ]
※シーケンスナンバーは通常のACLと同様10区切りで設定する
 (若番から順番にチェックされていく)
 「match」で参照するACLを定義し「action」で許可/拒否の設定を行う。
 →ややこしいが「match ip address ~」の後はipアドレスではなく
  ACL番号orACL名を書くため注意。

 ③VACL適用
 (config)# vlan filter map-name vlan-list vlan-id
 ※「vlan filter ~」の後にVACL名、「vlan-list ~」の後に
  VACLを適用するVLAN番号を記載しマッピングする。