CHAPTER
12
EtherType アクセスリストの追加
この章では、EtherType アクセスリストを設定する方法について説明します。次の項目を取り上げます。
• 「EtherType アクセスリストに関する情報」(P.12-1)
• 「EtherType アクセスリストのライセンス要件」(P.12-2)
• 「ガイドラインと制限事項」(P.12-3)
• 「デフォルト設定」(P.12-4)
• 「EtherType アクセスリストの設定」(P.12-4)
• 「EtherType アクセスリストの監視」(P.12-6)
• 「次の作業」(P.12-6)
• 「EtherType アクセスリストの設定例」(P.12-7)
• 「EtherType アクセスリストの機能履歴」(P.12-7)
EtherType アクセスリストに関する情報
EtherType アクセスリストは、EtherType を指定する 1 つまたは複数の アクセスリスト エントリ
(ACE)で構成されます。この項は、次の内容で構成されています。
• 「サポートされている EtherType」(P.12-1)
• 「IP および ARP のみの暗黙的な許可」(P.12-2)
• 「アクセスリストの末尾にある暗黙的および明示的拒否 ACE」(P.12-2)
• 「MPLS の許可」(P.12-2)
サポートされている EtherType
EtherType ACE は、16 ビットの 16 進数値で指定されるすべての EtherType を制御します。インター
フェイスの各方向の各タイプ(拡張および EtherType)に適用できるアクセスリストは 1 つだけです。
同一のアクセスリストを複数のインターフェイスに適用することもできます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
12-1
第 12 章
EtherType アクセスリストの追加
EtherType アクセスリストのライセンス要件
IP および ARP のみの暗黙的な許可
IPv4 トラフィックは、セキュリティの高いインターフェイスから低いインターフェイスに移動する場
合、アクセスリストなしで自動的に透過ファイアウォールを通過できます。ARP は、アクセスリスト
なしで両方向に透過ファイアウォールを通過できます。ARP トラフィックは ARP 検査によって制御さ
れます。
ただし、IPv4 と ARP 以外の EtherType のトラフィックを許可するには、高位のセキュリティ イン
ターフェイスから低位のセキュリティ インターフェイスへのトラフィックである場合でも EtherType
アクセスリストを適用する必要があります。
EtherType はコネクションレス型であるため、トラフィックを両方向に通過させる必要がある場合は、
両方のインターフェイスにアクセスリストを適用する必要があります。
アクセスリストの末尾にある暗黙的および明示的拒否 ACE
EtherType アクセスリストの場合、アクセスリストの末尾にある暗黙的な拒否は、IP トラフィックや
ARP には影響しません。たとえば、EtherType 8037 を許可する場合、アクセスリストの末尾にある暗
黙的な拒否によって、拡張アクセスリストで以前許可(または高位のセキュリティ インターフェイス
から低位のセキュリティ インターフェイスへ暗黙的に許可)した IP トラフィックがブロックされるこ
とはありません。ただし、EtherType ACE とのすべてのトラフィックを明示的に拒否する場合、IP と
ARP のトラフィックが拒否されます。
MPLS の許可
MPLS を許可する場合は、Label Distribution Protocol(LDP; ラベル配布プロトコル)および Tag
Distribution Protocol(TDP; タグ配布プロトコル)の TCP 接続が適応型セキュリティ アプライアンス
を経由して確立されるようにしてください。これには、適応型セキュリティ アプライアンス インター
フェイス上の IP アドレスを LDP セッションまたは TDP セッションの router-id として使用するよう
に、適応型セキュリティ アプライアンスに接続されている両方の MPLS ルータを設定します (LDP お
よび TDP を使用することにより、MPLS ルータは、転送するパケットに使用するラベル [ アドレス ] を
ネゴシエートできるようになります)。
Cisco IOS ルータで、使用プロトコル(LDP または TDP)に適したコマンドを入力します。interface
は、適応型セキュリティ アプライアンスに接続されているインターフェイスです。
hostname(config)# mpls ldp router-id interface force
または
hostname(config)# tag-switching tdp router-id interface force
EtherType アクセスリストのライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
すべてのモデル
基本ライセンス
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
12-2
OL-18970-01-J
第 12 章
EtherType アクセスリストの追加
ガイドラインと制限事項
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
• 「コンテキスト モードのガイドライン」(P.12-3)
• 「ファイアウォール モードのガイドライン」(P.12-3)
• 「その他のガイドラインと制限事項」(P.12-3)
コンテキスト モードのガイドライン
シングルコンテキスト モードとマルチコンテキスト モードで使用できます。
ファイアウォール モードのガイドライン
透過ファイアウォール モードでだけサポートされています。
その他のガイドラインと制限事項
EtherType アクセスリストには、次のガイドラインと制限事項が適用されます。
• 特定のアクセスリスト名に対して access-list コマンドを入力すると、ACE はアクセスリストの末
尾に追加されます。
• EtherType アクセスリストでは、Ethernet V2 フレームがサポートされています。
• 802.3 形式フレームでは、type フィールドではなく length フィールドが使用されるため、アクセス
リストでは処理されません。ブリッジ プロトコル データ ユニットはアクセスリストで処理される
唯一の例外です。BPDU は SNAP カプセル化されており、適応型セキュリティ アプライアンスは
特別に BPDU を処理するように設計されています。
• EtherType はコネクションレス型であるため、トラフィックを両方向に通過させる必要がある場合
は、両方のインターフェイスに ACL を適用する必要があります。
• MPLS を許可する場合は、LDP および TDP の TCP 接続が適応型セキュリティ アプライアンスを
経由して確立されるようにしてください。これには、適応型セキュリティ アプライアンス イン
ターフェイス上の IP アドレスを LDP セッションまたは TDP セッションの router-ID として使用す
るように、適応型セキュリティ アプライアンスに接続されている両方の MPLS ルータを設定しま
す (LDP および TDP を使用することにより、MPLS ルータは、転送するパケットに使用するラベ
ル(アドレス)をネゴシエートできるようになります)。
• EtherType アクセスリストの場合、アクセスリストの末尾にある暗黙的な拒否は、IP トラフィック
や ARP には影響しません。たとえば、EtherType 8037 を許可する場合、アクセスリストの末尾に
ある暗黙的な拒否によって、拡張アクセスリストで以前許可(または高位のセキュリティ イン
ターフェイスから低位のセキュリティ インターフェイスへ暗黙的に許可)した IP トラフィックが
ブロックされることはありません。ただし、EtherType ACE とのすべてのトラフィックを明示的
に拒否する場合、IP と ARP のトラフィックが拒否されます。
• インターフェイスの各方向の各タイプ(拡張および EtherType)に適用できるアクセスリストは 1
つだけです。同一のアクセスリストを複数のインターフェイスに適用することもできます。
(注)
フェールオーバーを使用している場合は、EtherType アクセスリストで両方のインターフェイスの
BPDU を許可してブリッジング ループを回避する必要があります。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
12-3
第 12 章
EtherType アクセスリストの追加
デフォルト設定
デフォルト設定
表 12-1 に、EtherType アクセスリスト パラメータのデフォルトの設定を示します。
表 12-1
EtherType アクセスリストのデフォルトパラメータ
パラメータ
デフォルト
bpdu
デフォルトでは、BPDU は拒否されます。
deny | permit
適応型セキュリティ アプライアンスは、ユーザが
特にアクセスを許可しない限り、送信元インター
フェイスのパケットをすべて拒否します。
deny
アクセスリスト ロギングは、拒否されたパケット
についてシステム ログ メッセージ 106023 を生成
します。拒否されたパケットをログに記録するに
は、拒否パケットが存在している必要があります。
log
オプションの log キーワードが指定されている場
合、システム ログ メッセージ 106100 のデフォル
トの重大度は 6(情報)です。
EtherType アクセスリストの設定
この項は、次の内容で構成されています。
• 「EtherType アクセスリストの設定のタスク フロー」(P.12-4)
• 「EtherType アクセスリストの追加」(P.12-5)
• 「アクセスリストへのコメントの追加」(P.12-6)
EtherType アクセスリストの設定のタスク フロー
アクセスリストを作成して実装するには、次のガイドラインを使用します。
• 「EtherType アクセスリストの追加」(P.12-5)に示すように、ACE を追加し、アクセスリスト名を
適用して、アクセスリストを作成します。
• アクセスリストをインターフェイスに適用します (詳細については、「インターフェイスへのアク
セスリストの適用」(P.35-4)を参照してください)。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
12-4
OL-18970-01-J
第 12 章
EtherType アクセスリストの追加
EtherType アクセスリストの設定
EtherType アクセスリストの追加
EtherType に基づいてトラフィックを制御するアクセスリストを設定するには、次のコマンドを入力し
ます。
コマンド
目的
access-list access_list_name ethertype
{deny | permit} {ipx | bpdu | mpls-unicast
| mpls-multicast | any | hex_number}
EtherType ACE を追加します。
例:
hostname(config)# hostname(config)#
access-list ETHER ethertype permit ipx
access_list_name 引数には、アクセスリストの名前または番号を示しま
す。アクセスリスト名を指定すると、アクセスリストの末尾に ACE が追
加されます。access_list_name は、大文字で入力します。これにより、
コンフィギュレーションで名前が見つけやすくなります。アクセスリス
トには、インターフェイスを表す名前(INSIDE など)や、目的を表す名
前(MPLS や PIX など)を付けることができます。
any キーワードは、任意のユーザへのアクセスを指定します。
bpdu キーワードは、デフォルトで拒否されているブリッジ プロトコル
データ ユニットへのアクセスを指定します。
deny キーワードは、条件が一致した場合にアクセスを拒否します。
EtherType アクセスリストに deny all が設定されている場合、すべての
イーサネット フレームが廃棄されます。その場合でも、オートネゴシ
エーションなどの物理プロトコル トラフィックだけは許可されます。
hex_number 引数は、0x600 以上の 16 ビット 16 進数値で指定できる任意
の EtherType です (EtherType のリストについては、
http://www.ietf.org/rfc/rfc1700.txt で、RFC 1700「Assigned Numbers」
を参照してください)。
ipx キーワードは、IPX へのアクセスを指定します。
mpls-multicast キーワードは、MPLS マルチキャストへのアクセスを指
定します。
mpls-unicast キーワードは、MPLS ユニキャストへのアクセスを指定し
ます。
permit キーワードは、条件が一致した場合にアクセスを許可します。
(注)
EtherType ACE を削除するには、no access-list コマンドを、コ
ンフィギュレーションに表示される完全なコマンド シンタックス
文字列で入力します。
例
次のサンプル アクセスリストでは、内部インターフェイスで発信される一般的な EtherType が許可さ
れます。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list ETHER ethertype permit ipx
access-list ETHER ethertype permit bpdu
access-list ETHER ethertype permit mpls-unicast
access-group ETHER in interface inside
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
12-5
第 12 章
EtherType アクセスリストの追加
次の作業
アクセスリストへのコメントの追加
拡張アクセスリスト、EtherType アクセスリスト、IPv6 アクセスリスト、標準アクセスリスト、
Webtype アクセスリストを含む任意のアクセスリストに、エントリについてのコメントを追加できま
す。コメントにより、アクセスリストが理解しやすくなります。
最後に入力した access-list コマンドの後にコメントを追加するには、次のコマンドを入力します。
コマンド
目的
access-list access_list_name remark text
最後に入力した access-list コマンドの後にコメントを追加します。
例:
hostname(config)# access-list OUT remark this is the inside admin address
テキストは 100 文字まで指定できます。テキストの先頭にスペースを入
力できます。末尾のスペースは無視されます。
いずれかの access-list コマンドの前にコメントを入力すると、コメント
はアクセスリストの最初の行に表示されます。
no access-list access_list_name コマンドを使用してアクセスリストを削
除すると、コメントもすべて削除されます。
例
各 ACE の前にコメントを追加できます。コメントはその場所でアクセスリストに表示されます。コメ
ントの開始位置にダッシュ(-)を入力すると、ACE と区別しやすくなります。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list
access-list
access-list
access-list
OUT
OUT
OUT
OUT
remark extended
remark extended
this is the inside admin address
permit ip host 209.168.200.3 any
this is the hr admin address
permit ip host 209.168.200.4 any
次の作業
アクセスリストをインターフェイスに適用します (詳細については、「インターフェイスへのアクセス
リストの適用」(P.35-4)を参照してください)。
EtherType アクセスリストの監視
EtherType アクセスリストを監視するには、次のいずれかのコマンドを入力します。
コマンド
目的
show access-list
アクセスリスト エントリを番号で表示します。
show running-config access-list
現在実行しているアクセスリスト コンフィギュ
レーションを表示します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
12-6
OL-18970-01-J
第 12 章
EtherType アクセスリストの追加
EtherType アクセスリストの設定例
EtherType アクセスリストの設定例
次の例は、EtherType アクセスリストを設定する方法を示しています。
次のアクセスリストでは、一部の EtherType は適応型セキュリティ アプライアンスを通過することが
許可されますが、IPX は拒否されます。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list ETHER ethertype deny ipx
access-list ETHER ethertype permit 0x1234
access-list ETHER ethertype permit bpdu
access-list ETHER ethertype permit mpls-unicast
access-group ETHER in interface inside
access-group ETHER in interface outside
次のアクセスリストでは、両方のインターフェイスで EtherType 0x1256 のトラフィックが拒否されま
すが、他のトラフィックはすべて許可されます。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list nonIP ethertype deny 1256
access-list nonIP ethertype permit any
access-group ETHER in interface inside
access-group ETHER in interface outside
EtherType アクセスリストの機能履歴
表 12-2 に、この機能のリリース履歴の一覧を示します。
表 12-2
EtherType アクセスリストの機能履歴
機能名
リリース
機能情報
EtherType アクセスリスト
7.0
EtherType アクセスリストは、EtherType に基づいてトラ
フィックを制御します。
この機能および access-list ethertype コマンドが導入され
ました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
12-7
第 12 章
EtherType アクセスリストの追加
EtherType アクセスリストの機能履歴
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
12-8
OL-18970-01-J
© Copyright 2026 Paperzz