IBM テクノロジー : IBM ネットワーキング

サービス アクセスポイント アクセス コントロール リストの理解

Hierarchical Navigation
2003 年 12 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 9 月 9 日) | フィードバック

目次

概要

このドキュメントでは、Cisco ルータのサービス アクセスポイント(SAP)アクセス コントロール リスト(ACL)の読み取りおよび作成方法について説明します。ACL には数種類ありますが、 SAP 値に基づいたフィルタリングを行うものにに注目します。 このタイプの ACL 数値の範囲は、200 〜 299 です。これらの ACL は、 ソース ルート ブリッジ(SRB)トラフィックのフィルタリングを行うトークンリング インターフェイス、 トランスペアレント ブリッジ(TB)トラフィックのフィルタリングを行うイーサネット インターフェイス 、または データリンク スイッチ イング ピア ルータに適用できます。

SAP ACL での主な身元証明要求は、特定の ACL エントリで許可または拒 否されている SAP を正確に認識することです。特定のプロトコルをフィルタ リングする異なる 4 つのシナリオについて分析します。

システム ネットワーク アーキテクチャ(SNA)のフィルタリング

IBM の SNA トラフィックは 0x00 〜 0xFF の範囲をとる SAP を使用し ます。Virtual Telecommunications Access Method(VTAM)V3R4 以降のバー ジョンでは、SAP 値の範囲 4 〜 252(16 進数表示の 0x04 〜 0xFC)をサポ ートします。ここで、0xF0 は NetBIOS トラフィックに予約されます。SAP は、0x04 で始まる 0x04 の倍数です。次の ACL は、最も一般的な SNA SAP を許可し、残りを拒否します(各 ACL の最後に暗黙の "deny all" があるとします)。 

access-list 200 permit 0x0000 0x0D0D

ACL の読み取りで、まず宛先 SAP(DSAP)、ソース SAP(SSAP)、および ワイルドカード マスクを 2 進数表示に変換します。

16 進数 2 進数
0x0000 0x0D0D 
DSAP      SSAP      DSAP および SSAP それぞれのワイルドカード マスク

  |-------| |-------| |-------| |-------|

  0000 0000 0000 0000 0000 1101 0000 1101

ワイルドカード マスクのビットを使用して、この特定の ACL エントリ が許可する SAP を判別します。ワイルドカード マスクのビットを変換する 場合は、次のルールを使用します。

  • 0:完全一致が必要。これは、許可された SAP に ACL で 設定された SAP と同じ値を持つ必要があることを意味します。詳細について は、次の表を参照してください。

  • 1:許可された SAP は、このビット位置、つまり「無指定」位置が 0 または 1 のいずれかになる。

ACL で設定 された SAP 0 0 0 0   0 0 0 0
ワイル ドカード マスク 0 0 0 0   1 1 0 1
ACL で許可 された SAP、X=0 または X=1 0 0 0 0   X X 0 X

前述の表の結果を使用して、ここで上記のパターンに一致する SAP のリストを 示します。

許可された SAP(2 進数) 許可された SAP(16 進 数)
0 0 0 0 0 0 0 0 0x00
0 0 0 0 0 0 0 1 0x01
0 0 0 0 0 1 0 0 0x04
0 0 0 0 0 1 0 1 0x05
0 0 0 0 1 0 0 0 0x08
0 0 0 0 1 0 0 1 0x09
0 0 0 0 1 1 0 0 0x0C
0 0 0 0 1 1 0 1 0x0D

上記の表でわかるように、予想されるすべての SNA SAP がこの ACL に含まれるわけではありません。ただし、これらの SAP は最も一 般的な場合を対象にしています。

ACL の設定時に考慮する別の点は、SAP 値がコマンドか、レスポンス かによって変わることです。SSAP には、それらを区別するコマンド/レスポンス(C/R) ビットがあります。C/R は、コマンドの場合は 0、レスポンスの場合は 1 に設定さ れます。このため、ACL はレスポンスと同様にコマンドを許可またはブロックす る必要があります。たとえば、sap 0x05(レスポンスに使用)が C/R が 1 に設定 された SAP 0x04 になります。同様に 0x09(C/R が 1 に設定された SAP 0x08) 0x0D、および 0x01 にも適用されます。

NetBIOS のフィルタリング

NetBIOS トラフィックは、SAP 値 0xF0(コマンドの場合)および 0xF1( レスポンスの場合)を使用します。通常、ネットワーク管理者は、これらの SAP 値 を使用してこのプロトコルをフィルタリングします。次のアクセス リストの エントリは、NetBIOS トラフィックを許可し、他をすべて拒否します(各 AC L の最後には暗黙の "deny all" があります)。 

access-list 200 permit 0xF0F0 0x0101

前のセクションの説明と同じ手順を使用して、上記の ACL が次の SAP を許可することを決定でできます。

その一方で、NetBIOS をブロックしてトラフィックの残りを許可したい 場合は、次の ACL を使用します。 

access-list 200 deny 0xF0F0 0x0101

  access-list 200 permit 0x0000 0xFFFF

IPX のフィルタリング

デフォルトでは、Cisco ルータが IPX トラフィックをブリッジしま す。この動作を変更するには、ルータで ipx routing を設定する必 要があります。802.2 カプセル化を使用する IPX は、DSAP および SSAP と して SAP 0xE0 を使用します。このため、Cisco ルータが IPX をブリッジし ていて、要件がこのタイプのトラフィックを許可することである場合には、 この ACL を使用します。 

access-list 200 permit 0xE0E0 0x0101

一方、次の ACL は IPX をブロックして、残りのトラフィックを許可しま す。 

access-list 200 deny 0xE0E0 0x0101

  access-list 200 permit 0x0000 0xFFFF

すべてのトラフィックの許可または拒否

すべての ACL には、暗黙の "deny all" があります。設定された ACL の 動作を分析する際は、このエントリに注意する必要があります。次に示す最 後の ACL エントリは、すべてのトラフィックを拒否します。 

access-list 200 permit ....

  access-list 200 permit ....

  access-list 200 deny 0x0000 0xFFFF

ワイルドカード マスク(2 進数)の読み取りの際は、1 が「無指定」ビ ット位置になります。また、2 進数で表されたすべてのワイルドカード マ スクはそれぞれ 16 進数の 0xFFFF に換わります。

Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。

関連情報

Document ID: 12403