- PR -

VLAN使用時のポート単位ACL適用について

1
投稿者投稿内容
NW構築初心者
会議室デビュー日: 2006/03/29
投稿数: 1
投稿日時: 2006-03-29 13:01
L2SWにCatalyst2950、L3SWにCatalyst3750を使用中です。
VLAN使用時に、そのVLAN Gr.の1portだけに対して、アクセスリストの適用は
可能なのでしょうか?
例えば、VLAN 1(port1-4)のうち、port1のみにoutのACLを適用をするなどです。

以下、構成です

上位NW
|
|
L2-1--------
|        |
|        |
L3-1      L3-2
|        |
|        |
L2-2--------
|
|
下位NW

今回、L3-1、L3-2の両SW間でHSRPの構成を組んでおり、helloパケットの
上位・下位NWへの流出を防ぐための方策としてL2-1、L2-2へのACL適用を
考えています。
VLANに対してのACLは適用可能ですが、その中の1portのみへのACL適用は
コマンド入力出来ないので不可と思われますが、その場合、VLANを分ける
必要があるでしょうか?
仮にVLANを分けるとすると、helloパケットの流れとしてはどうなるのでしょうか?

初心者の為、説明が乏しく理解しづらい点があるかと思いますが、
ご教授頂ければと思います。
以上、よろしくお願いいたします。

[ メッセージ編集済み 編集者: NW構築初心者 編集日時 2006-03-29 13:04 ]

[ メッセージ編集済み 編集者: NW構築初心者 編集日時 2006-03-29 13:05 ]
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-03-29 13:59
引用:

NW構築初心者さんの書き込み (2006-03-29 13:01) より:

VLAN使用時に、そのVLAN Gr.の1portだけに対して、アクセスリストの適用は
可能なのでしょうか?

VLANに対してのACLは適用可能ですが、その中の1portのみへのACL適用は
コマンド入力出来ないので不可と思われますが、その場合、VLANを分ける
必要があるでしょうか?

VLANの構成ポート単位にACLを設定することはできなかったと思います。
VLANに対するACLはVLAN単位に定義が反映される仕組みだったと記憶してます。
従って、ACLを適用したいグループを別のVLANグループに分ける必要があります。

引用:

今回、L3-1、L3-2の両SW間でHSRPの構成を組んでおり、helloパケットの
上位・下位NWへの流出を防ぐための方策としてL2-1、L2-2へのACL適用を
考えています。

仮にVLANを分けるとすると、helloパケットの流れとしてはどうなるのでしょうか?

OSPFですか? 大規模ですね。

そもそも「helloパケットを止める(流出を防ぐ)」という発想がわかりません。
L3-1、L3-2はOSPF構成ルータでなく、近隣ルータなのでしょうか?
近隣ルータの場合でも「根底にあるレイヤの障害が OSPF HELLO の通行を
妨げている」とのエラーをまねく結果になるように思えますが?
Wind
ベテラン
会議室デビュー日: 2004/11/10
投稿数: 73
投稿日時: 2006-03-29 14:58
HSRPに関しては下記Ciscoサイトをご参照の事。

http://www.cisco.com/japanese/warp/public/3/jp/service/tac/619/3-j.shtml#q18

逆に質問ですが、HSRPのHELLOパケットが上位・下位NWへの流出して、なにか不具合(問題)はありますか?
具体的な問題が挙げられないのであれば、下手にフィルタリングしない方が吉です。
下手にACL実装すると、逆に障害を招きかねないので、ACLの運用は計画的に。

Catalyst 2950でのACLですが、2950は2950でも無印2950ですか? それとも2950G-24とかですか? 同じ2950でもIOSが異なるので、一概にPortACLが『できない』とは断言できません。
2950シリーズの仕様に関しては、以下のCiscoサイトを参照してください。

http://www.cisco.com/japanese/warp/public/3/jp/product/hs/switches/cat2950/prodlit/c2950_pb.shtml

また、VLANを分割する云々ですが、L2 VLANを理解していれば、HSRP(というよりNetwork)にどのような影響がでるかは想像がつくかと思います。

あくまで個人的経験ですが、HSRPのマルチキャストのフィルタリングはした事ないですね。

ご参考になれば。

以下蛇足。
WS-C3750でHSRPまわすより、StackWiseで接続しちゃった方が、あらゆる意味でメリットがあると思うんですが……。その為のWS-C3750だろ? という気が多々^^;
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2006-03-29 17:14
引用:

Windさんの書き込み (2006-03-29 14:58) より:
HSRPに関しては下記Ciscoサイトをご参照の事。

http://www.cisco.com/japanese/warp/public/3/jp/service/tac/619/3-j.shtml#q18

2950シリーズの仕様に関しては、以下のCiscoサイトを参照してください。

http://www.cisco.com/japanese/warp/public/3/jp/product/hs/switches/cat2950/prodlit/c2950_pb.shtml

以下蛇足。
WS-C3750でHSRPまわすより、StackWiseで接続しちゃった方が、あらゆる意味でメリットがあると思うんですが……。その為のWS-C3750だろ? という気が多々^^;


Wind様、情報提供ありがとうございます。非常に参考になりました。
→ 最近の勉強不足を痛感しました。

ここのhelloパケットはHSRPのものだったのですね。
> helloパケットの 上位・下位NWへの流出を防ぐため
文脈から判断できなかったこと、お恥ずかしい限りです。

但し、HSRPのhelloパケットに関しても「フィルタリングしない」は正しい対応だと
考えます。
→ トラフィック解析等の邪魔になるようであれば、StackWise接続構成にするとか、 
  Wind様推奨のWind様発信間隔をデフォルトから長めに変更するとかの対応を考慮
  した方が良いと思います。
koji
常連さん
会議室デビュー日: 2004/11/04
投稿数: 36
お住まい・勤務地: 北海道
投稿日時: 2006-03-29 17:41
PortACLが使用できたとしても
2950シリーズではinboundなパケットしか適用が出来なかったはずです
1

スキルアップ/キャリアアップ(JOB@IT)