IX2106 のログを見やすくする為の ACL を組む

Diary雑記
IX2106Network
この記事は約4分で読めます。

はじめに

 運用も軌道に乗ってくるとログにノイズも増えてくる。
 例えば今回対処することになった ICMPv4/6 関連の BLOCK ログ。
 Google 関連サイトをブラウザで閲覧するだけでも、結構な数の ICMP リクエストが飛んでくる。
 ログの肥大に繋がるし、眺めていても邪魔だからこれを抑制し、ログを見やすくしたいのが今回の目的。

ログの制御

 interface で適用する ip filter 若しくは ipv6 filter の末尾に suppress-logging を付けると、該当フィルターのログが抑制される。
 これを上手いこと使ってみる。

ACL の block-list をプロトコル別に分割する

 どの ACL にも引っかからなかったパケットを全てドロップさせる block-list という物を定義していた。

ip access-list block-list deny ip src any dest any
!
ipv6 access-list block-list deny ip src any dest any

 IPv4 と IPv6 それぞれで NEC のドキュメントを読んでいるなら定義している物と思われるが、これをプロトコル別で定義しなおす。

 IPv4 と IPv6 でそれぞれ次のように分割定義を行った。

ip access-list block-tcp deny tcp src any dest any
ip access-list block-udp deny udp src any dest any
ip access-list block-icmp deny icmp src any dest any
ip access-list block-other deny ip src any dest any
!
ipv6 access-list block-tcp deny tcp src any dest any
ipv6 access-list block-udp deny udp src any dest any
ipv6 access-list block-icmp deny icmp src any dest any
ipv6 access-list block-other deny ip src any dest any

 それぞれ TCP, UDP, ICMP を個別にブロック。other でそれ以外のプロトコルをブロックするという仕組み。

ACL の適用

 そして ACL を適用する箇所が次のような感じ。
 ログを抑制したい ICMP の箇所には suppress-logging を付与しておく。

interface GigaEthernet0.0
  ! (中略
  ipv6 filter dhcpv6-list  10 in
  ipv6 filter icmpv6-in    20 in
  ipv6 filter tunnel-list  30 in
  ipv6 filter web-list     40 in
  ipv6 filter invalid-in   90 in
  ipv6 filter block-tcp   100 in
  ipv6 filter block-udp   110 in
  ipv6 filter block-icmp  120 in suppress-logging
  ipv6 filter block-other 130 in
  ipv6 filter dhcpv6-list  10 out
  ipv6 filter icmpv6-out   20 out
  ipv6 filter tunnel-list  30 out
  ipv6 filter basic-out    80 out
  ipv6 filter invalid-out  90 out
  ipv6 filter dflt-list   100 out
  no shutdown
!
interface Tunnel0.0
  ! (中略
  ip filter serv         10 in
  ip filter serv-mail    20 in
  ip filter serv-web     30 in
  ip filter serv-vpn     40 in
  ip filter invalid-in   90 in
  ip filter block-tcp   100 in
  ip filter block-udp   110 in
  ip filter block-icmp  120 in suppress-logging
  ip filter block-other 130 in
  ip filter basic-out    80 out
  ip filter invalid-out  90 out
  ip filter dflt-list4  100 out
  no shutdown

 この様な仕組みの ACL を適用すれば、ログが ICMP をブロックだらけにならずに済む。
 反面、ICMP に起因する障害を見抜きにくくなるのだけは要注意ということで。

おわりに

 NEC UNIVERGE IX2106 に関するチューニングもこれでやっと一段落かなという状態に移った。
 あとはログを監視しつつ、怪しいアクセスが無いかとか観察して良ければと思う。

著者プロフィール
ぶっち
ぶっち

本格的に PC へ触れ始めてたのは 1990 年位から。
興味は PC 全般。OS は Windows と Linux などを嗜む。
プログラマやネットワークエンジニアを経てフリーに活動している 40 代も後半に入ったおじさんです。

ぶっちをフォローする
ぶっちろぐ

コメント

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.