1-1 VLANによるセキュア化

従来トラフィックのフィルタリングは、ルータ境界のみで行われ、パケットは検査されてから転送される。これは、 Catalystスイッチ内にも当てはまる。アクセス リストは、マルチレイヤスイッチングの一部として適用 できるため。Catalystマルチレイヤスイッチに適用可能な「ACL」として、次の３つが挙げられる。


●【RACL（Router ACL)】・・・・TCAMでハードウェア的にサポート的され、ルーテッドポートやSVIなどのL3インターフェースに適用 できるCiscoIOSルータに設定するACLと同じもの。

●【VACL（VLAN ACL)】・・・・Catalystマルチレイヤスイッチのソフトウェアでサポートされ、レイヤ２ポート（VLAN）を通過する全てのトラフィックに対して適用される。VLAN上の全てのトラフィックに適用できる ( L2, L3, L4の対象可) リストであり、VLANアクセスマップとも呼ばれている。

●【QoS ACL】・・・・TCAMでハードウェア的にサポートされ、入力と出力の双方に適用することができる。

RACLは、レイヤ３インターフェイスに設定されるため、下図�@のようなVLAN間ルーティングを必要とするトラフィックに対して適用されるが、 �Aのような同一VLAN間のブリッジドトラフィックには適用されない。

これに対してVACLはVLAN単位での設定になるため、特定のVLANを通過する全てのトラフィックに対して適用される。
�Aのような同一VLAN間のブリッジトラフィックは、レイヤ２処理をされて、あて先ポートから転送されるが、VACLの照合についてはIPアドレス等のレイヤ3情報を参照することが可能。

1-2 VACLの設定

VACLは、「vlan access-map」コマンドによって作成されたVACLを 特定のVLANに適用することで機能する。VLANアクセスマップは、１つ以上のステートメントからなり、各ステートメントは共通のマップ名を持つ。まず、以下のコマンドにより、VACLを定義する。

(config)# vlan access-map【map名】 【シーケンス番号】

アクセスマップステートは、シーケンス番号の小さいエントリから順に処理される。 各ステートメントには、１つ以上のマッチング条件を含めることができ、その後に動作を１つ指定する。

続いて、フィルタリングすべきトラフィックを識別するマッチング条件を定義する。 マッチング処理は、アクセスリスト（IPアドレス、IPXアドレス、またはMACアドレスの各ACL）ごとに行われるが、これらは個別に設定する必要がある。

アクセスマップステートは、シーケンス番号の小さいエントリから順に処理される。 マッチング条件の設定には、以下のアクセスマップ設定コマンドのいずれかを使用する。

(config-access-map)# match ip address【acl-number/acl-name】
(config-access-map)# match ipx address【acl-number/acl-name】
(config-access-map)# match mac address 【acl-name】

これらのコマンドを繰り返し使うことで、複数のマッチング条件を定義できる。 この場合は、最初にマッチしたものが取るべき動作のトリガとなる。動作の定義には、以下のアクセスマップ設定コマンドを使用する。

(config-access-map)#action【drop/foward{capture}/redirect インターフェイス名・インターフェイス番号】

VACLでは、条件にマッチしたパケットの破棄（drop)、転送（forward)、別のインターフェイスへのリダイレクト（redirect）が可能。パケットがVLAN内でスイッチングまたはブリッジングされるとき、あるいはVLAN内外にルーティングされるとき、TCAMはVACL全体のマッチングと動作を実行する。
最後に以下の設定コマンドにより、このVACLをVLANに適用する。

(config)#vlan filter【map名】 vlan-list【VLAN番号】

VLANは「-」や「,」を用いて複数指定できる。vlan filterコマンドでVACLを適用すると、スイッチ内部のvlanのInputにおいて、vaclの条件をチェックし、設定された動作を行う。

以下にVACLの設定例を示す。