ACL - Extended ACL



 ◆ 拡張ACLとは

 拡張ACLは送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号等を
 チェックするACLです。柔軟で細かい制御ができる点で標準ACLより拡張ACLの方がよく使用されています。
 標準ACLと同じように、拡張ACLには
名前付き拡張ACL番号付き拡張ACLがありますが、このページでは
 「番号付き拡張ACL」を解説していきます。番号付き拡張ACLのコマンド設定は、以下の構文で設定します。


 
◆ 番号付き拡張ACLの作成
(config)# access-list number [ permit | deny ] protocol source wildcard port dest wildcard port [ established | log | log-input ]

コマンド引数 説明
number

 拡張ACLの番号を 100 〜 199、2000 〜 2699 の範囲で指定する。通常は100 〜 199を使用して
 100 〜 199 全てを使用した場合に 2000 〜 2699 を使用するので2000以降はあまり使用されない。

permit | deny

 条件文のパケット許可する場合は permit キーワード、拒否する場合は deny キーワードを使用。

protocol  プロトコル名を指定する。( 例 : ip / icmp / tcp / udp )
source

 送信元IPアドレスを指定する。

wildcard

 ワイルドカードマスクを指定する。

port

 以下の演算子の後にポート番号を指定する。最も使用されるキーワードが eq 。
 ・ eq ( equal = 等しい)
 ・ neq ( not equal = 等しくない)
 ・ gt ( greater than = より大きい )
 ・ lt ( less than = より小さい )
 ・ range ( ポート番号の範囲 )

dest  宛先IPアドレスを指定する。
wildcard  ワイルドカードマスクを指定する。
established

 このキーワードをACLで指定することにより、ACKまたはRSTビットの立っているパケットが
 ACLの合致対象となる。つまりこれはインバウンドのTCPトラフィックのみ対象としたキーワード。

log

 ACLの条件文の最後にこのキーワードを指定することで、その条件文に合致するパケットがあれば
 ログが出力される。トラフィックの監視、分析、またはトラブルシューティングの際に役立つが、
 このキーワードを指定した条件文が多数がある場合、機器の負荷が高くなるので注意が必要となる。

log-input  入力インターフェイスと送信元MACアドレス(該当する場合)も含まれる。


    




 次に、作成したACLをインターフェースにインバウンド(IN)またはアウトバウンド(OUT)で適用します。
 この設定によりACLが有効となり、そのインタフェースでパケットフィルタリングが行われるようになります。


 
◆ ACLのインターフェースへの適用
 (config-if)#
ip access-group number [ in | out ]

コマンド引数 説明
number

 インターフェースに適用するACLの番号を指定。

in

 そのインターフェースに、着信してくるパケットにACLのフィルタリングをするように指定。

out

 そのインターフェースに、発信していくパケットにACLのフィルタリングをするように指定



    




    



 ◆ 番号付き拡張ACLの条件文の例

要件 ACLの設定
 192.168.1.1 から 10.1.1.1 へのIP通信を許可  access-list 100 permit ip host 192.168.1.1 host 10.1.1.1
 192.168.1.0/24 から 10.1.1.0/24 へのIP通信を許可  access-list 100 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
 192.168.1.0/24 から 10.1.1.1 へのIP通信を拒否  access-list 100 deny ip 192.168.1.0 0.0.0.255 host 10.1.1.1
 192.168.1.0/24 から全ての宛先へのIP通信を拒否  access-list 100 deny ip 192.168.1.0 0.0.0.255 any
 全ての送信元から 10.1.1.1 へのHTTP通信を許可  access-list 100 permit tcp any host 10.1.1.1 eq 80
 10.1.1.1 のWebサーバから全ての宛先への通信を許可  access-list 100 permit tcp host 10.1.1.1 eq 80 any
 192.168.0.0/24 から 10.1.1.1 へのTFTP通信を拒否  access-list 100 deny udp 192.168.0.0 0.0.0.255 host 10.1.1.1 eq 69
 192.168.1.0/24 から 10.1.1.1 へのtelnet通信を拒否  access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.1 eq 23
 全てのICMP通信を許可  access-list 100 permit icmp any any
 192.168.1.1 から 10.1.1.0/24 へのICMP通信を許可  access-list 100 permit icmp host 192.168.1.1 10.1.1.0 0.0.0.255
 全てのIP通信を許可  access-list 100 permit ip any any
 全てのIP通信を拒否  access-list 100 deny ip any any( 最終行に自動で追加される )



ACL - アクセスコントロールリスト

ネットワークエンジニアとして

Copyright (C) 2002-2020 ネットワークエンジニアとして All Rights Reserved.