ACLの種類
ACLはアクセスコントロールリストと言い、エーシーエルやアクルと言われてます。
ACLにはIP標準アクセスリストとIP拡張アクセスリストの2種類の設定方法があります。
アクセスリストは基本的に上から順にチェックされマッチしたらそこでアクセスリストは終了となります。
アクセスリストを作成すると最終行に暗黙のDenyが作成されるので注意(これはすべてのパケットを破棄するルールになります)
標準アクセスリストの設定
標準アクセスリストは番号1~99の指定が可能です。
許可(permit)拒否(deny)で指定する
| (config)#access-list (1~99) (permit | deny) (any | 送信元アドレス) (ワイルドカードマスク) | 標準ACLの設定 |
| (config)#ip access-list standard (番号(1~99)| 名前) permit 10.0.12.0 0.0.0.255 deny 192.168.1.0 0.0.0.255 |
名前付き標準(standard)ACLの設定 ACLグループを一纏めで設定可能 |
| (config)#access-list 番号 remark ********* | Access-list にコメントを付ける |
| (config-if)#ip access-list (番号(1~99)| 名前) (in | out) | インターフェースでACLを有効にする in:インターフェースへ入ってくるパケットを指定 out:インターフェースから出ていくパケットを指定 |
上記の設定例だと
番号1のACLの場合:送信元192.168.1.0/24 から全ての宛先へのIP通信を拒否される
名前付きACL(TEST-STN-ACL)の場合:送信元192.168.20.100のパケットだけ許可される
拡張アクセスリストの設定
拡張アクセスリストは標準にProtocol・宛先アドレス・ポートの指定ができるようになります。
拡張アクセスリストは100~199番か名前付きアクセスリスト(extended)で使用可能です
| (config)#access-list (100~199) (permit | deny) protocol 送信元アドレス ワイルドカードマスク 宛先アドレス ワイルドカードマスク (演算子) (ポート番号 | サービス名) |
拡張ACLの設定 Protocol(icmp | ip | tcp | udp) 演算子(eq=”等しい” | neq=”等しくない” | gt=”~より大きい” | lt=”~より小さい” | renge=”範囲”) ポート(ポート番号(23・80)かtelnet・httpなどを指定) |
| (config)#ip access-list extended {番号(100~199)or 名前} | 名前付きACLの設定(番号でも可能) |
|
(config-ext-nacl)(permit | deny) protocol |
名前付きACLの設定 指定できる設定内容は番号ACLと同じ |
| (config-if)#ip access-list (番号(1~99)| 名前) (in | out) | インターフェースでACLを有効にする in:インターフェースへ入ってくるパケットを指定 out:インターフェースから出ていくパケットを指定 |
上記の設定例だと
番号100のACLの場合:送信元192.168.20.0/24 から10.10.10.10へのTELNET・HTTP通信だけ許可される
名前付きACL(EX-TEST-ACL)の場合:送信元192.168.10.0/24から10.10.10.10へのSSH・DNSだけ許可される
設定例のちょいメモ
設定確認コマンド:show ip access-lists
ACLは上から順番に処理されます
下記の設定で1.1.1.1宛だけTELNETを拒否したい場合は普通に設定すると最終行に追加されます。
この場合だとNo.10のルールにマッチしてしまうので1.1.1.1へのTELNETも許可されてしまいます。
設定の時にシーケンス番号を指定すれば途中に割り込ませることが可能となります
これで1.1.1.1へのTELNETだけ拒否できるようになります
コメント