◆ 標準ACLとは
標準ACLとは、パケットの送信元IPアドレスをチェックしてフィルタリングするACLのこと。標準ACLには
名前付き標準ACLと番号付き標準ACLがありますが、ここでは「番号付き標準ACL」を解説していきます。
番号付き標準ACLを使用する場合、グローバルコンフィグレーションモードで、以下の構文で設定をします。
◆ 番号付き標準ACLの作成
(config)# access-list number [ permit | deny ] source wildcard
コマンド引数 |
説明 |
number |
標準ACLの番号を 1 〜 99、1300 〜 1999 の範囲で指定する。通常は 1 〜 99 を使用していき、
1 〜 99全てを使用した場合に1300 〜 1999を使用するので1300以降は一般的に使用されない。
|
permit | deny |
条件文のパケット許可する場合は permit キーワード、拒否する場合は deny キーワードを使用。
|
source |
送信元IPアドレスを指定する。
|
wildcard |
ワイルドカードマスクを指定する。ワイルドカードマスクを指定しない場合「0.0.0.0」が適用される。
|
次に、作成したACLをインターフェースにインバウンド(IN)またはアウトバウンド(OUT)で適用します。
この設定によりACLが有効となり、そのインタフェースでパケットフィルタリングが行われるようになります。
◆ ACLのインターフェースへの適用
(config-if)# ip access-group number [ in | out ]
コマンド引数 |
説明 |
number |
インターフェースに適用するACLの番号を指定。
|
in |
そのインターフェースに、着信してくるパケットにACLのフィルタリングをするように指定。
|
out |
そのインターフェースに、発信していくパケットにACLのフィルタリングをするように指定。
|
◆ 番号付き標準ACLの条件文の例
要件 |
ACLの設定 |
送信元 「192.168.0.1」 からのIP通信を許可 |
access-list 1 permit host 192.168.0.1 |
送信元 「192.168.0.2」 からのIP通信を拒否 |
access-list 1 deny host 192.168.0.2 |
送信元 「192.168.0.0/24」 セグメントからのIP通信を許可 |
access-list 1 permit 192.168.0.0 0.0.0.255 |
送信元 「192.168.1.0/24」 セグメントからのIP通信を拒否 |
access-list 1 deny 192.168.1.0 0.0.0.255 |
送信元 「192.168.0.0/26」 のセグメントからのIP通信を許可 |
access-list 1 permit 192.168.0.0 0.0.0.63 |
送信元 「192.168.1.4/30」 のセグメントからのIP通信を拒否 |
access-list 1 deny 192.168.1.4 0.0.0.3 |
全ての送信元IPアドレスからのIP通信を許可 |
access-list 1 permit any |
全ての送信元IPアドレスからのIP通信を拒否 |
access-list 1 deny any (最終行に自動で追加される) |
◆ アクセスリスト削除時の注意
これは番号付き標準ACL、番号付き拡張ACLに共通する内容ですが、no access-list コマンドによりACLを
削除をしようとすると全ての条件文が削除されるので注意しましょう。例えば、以下のACLの2行目だけを
削除したくて「no access-list 1 permit host 192.168.0.2」と入力してもaccess-list 1は全て削除されます。
access-list 1 permit host 192.168.0.1
access-list 1 permit host 192.168.0.2
access-list 1 permit host 192.168.0.3
従って、特定のaccess-listを削除したい場合、後に紹介するシーケンス番号を指定して編集することが重要。
|