ACL - Check Rule



 ◆ ACL注意事項 1: ACLの処理順序

 ACLに書かれた条件文(ステートメント)は、1行目から順番にチェックされていきます。そして条件に合致
 した時点でそのパケットは「許可」または「拒否」されて
以降のACLのステートメントはチェックされません。
 例えば「192.168.0.5」の送信元IPアドレスのパケットは拒否し、それ以外の「192.168.0.0/24」の送信元
 IPアドレスの全てのパケットを許可したい場合は、以下の設定をします。限定条件ほど最初に設定しましょう。


   



 ACLの条件文の書き方の悪い例は以下です。以下のACLで、送信元IPアドレス「192.168.0.5」のパケットが
 着信してくると、パケットの内容は以下のACLの1行目と2行目に合致しますが、ACLは上から順番にチェック
 されていくので先に1行目に合致してしまい、以降のステートメントはチェックせず2行目は無意味となります。


  



 ◆ ACL注意事項 2: 暗黙のdeny any

 ACLの最終行には自動的に「
暗黙のdeny any」と呼ばれる全てのパケットを拒否する条件文が追加されます。
 そのため、ACLには最低1行の許可するステートメントがなければ、全パケットが拒否されることになります。
 送信元IPアドレス「192.168.0.5」のパケットは拒否しますが、これ以外の全てのネットワークセグメントの
 送信元IPアドレスを許可するための設定は以下です。このACLでは2行目がないと全パケットが破棄されます。


    




 ◆ ACL注意事項 3: ACLの適用数

 ACLは1つのインターフェースにインバウンド(IN)とアウトバウンド(OUT)の1つずつ「
合計2つ」を
 適用できます。ルータに2つのインターフェースがある場合、INとOUTの合計で4つのACLを適用できます。


     


 従って、1つのインターフェースのIN(OUT)に対して例えば標準ACLと拡張ACLの2つを適用することは
 できません。適用できるのは IN に1つ、OUT に1つにしなければどのACLを参照すれば良いのかルータは
 判断できません。ただしネットワーク層プロトコルが異なれば、適用できるACLは1つずつというルールは
 適用されません。例えば「IPv4標準ACL」と「IPX標準ACL」の2つをインターフェースにINで適用できます。


 ◆ ACL注意事項 4: 適用するインターフェースの場所

 ACLはルータ上で作成しただけでは動作しません。作成したACLをインターフェースにINまたはOUTで適用
 することにより動作します。ACLを適用する場所(ルータのインターフェース)は、通信要件に従い管理者が
 決定しますが、ACLの配置場所は以下のような推奨ルールがあります。ただし、あくまでも通信要件に従って
 最適な場所を選択する必要があるので以下の内容は参考程度にしましょう。なぜなら、そもそも標準ACLは
 フィルタリングとしてはあまり使用するACLではありません。フィルタリング以外の用途での使用が多いです。

 ◇ 標準ACLは宛先に近い場所に適用
 ◇ 拡張ACLは送信元に近い場所に適用

 下図の通信要件@とAを満たすために標準ACLを使用する場合は、宛先に近い場所である「R2のGi0/1」に
 アウトバウンドで適用する必要があります。標準ACLは送信元IPアドレスしかチェックしないので、例えば、
 R1のインターフェースにINまたはOUTで標準ACLを適用すると20.1.1.1のサーバと通信ができなくなります。
 また、R2のGi0/0にインバウンドで適用した場合には、R2のルータへの通信ができなくなります。


    



 上図と同じ通信要件を満たすために拡張ACLを使用する場合は、R1とR2のどこのインターフェースに対して
 IN、OUTで適用しても要件を満たすことができます。なぜなら拡張ACLは送信元IPアドレスと宛先IPアドレス
 をチェックするからです。ただし、「ネットワークに無駄なトラフィックを流さない」という点でR1のGi0/0
 にインバウンドで適用することが望ましいです。これで無駄なトラフィックがR1以降に流れることはないです。
 このように拡張ACLは送信元に近い場所への適用が望ましいですが適用箇所はあくまで通信要件に依存します。


    



 ◆ ACL注意事項 5: アウトバウンドでフィルタリングの対象となるパケット

 ACLは標準ACLであっても拡張ACLであっても、アウトバウンドにおけるフィルタリングはルータを通過する
 トラフィックをフィルタリング対象とします。従ってルータから発生するトラフィックはACL対象としません。
 例えばルータから発生するトラフィックにRIPのアップデート、EIGRP/OSPFのHelloパケット等がありますが
 これらはルータのインターフェースにOUTでACLが適用されていても、チェックされずに送信されていきます。


     



 「標準ACLは宛先に近い場所に設定、拡張ACLは送信元に近い場所に設定するのが推奨」という内容は
 CCNA試験では好まれる内容です。ただし、あくまでも通信要件に従い最適な場所を選択することが原則。



ACL - アクセスコントロールリスト

ネットワークエンジニアとして

Copyright (C) 2002-2024 ネットワークエンジニアとして All Rights Reserved.