IPv4の基本的なACL[番号付き標準ACL/名前付き標準ACL/ワイルドカードマスク]
2015年4月20日(月)
■ACLの検査の順番
パケットの送信元IPアドレスに対して、ACLの1行目から順番にマッチングの処理が行われます。パケットがACLの1つの行と一致した時点で、ルータはその行に指定されたアクションを実行し、ACLのマッチング処理をそこで終了します。ファーストマッチロジックとも呼ばれ、それに続く行の処理は打ち切られます。
ACLでの処理は、ワイルドカードマスクやIPアドレスなどに加えて、記述する順番が非常に重要になるので注意しましょう。
●行の最後には暗黙のdeny any
記述したACLの最後には、暗黙のdeny anyの行があるものとして処理されます。ACLの全ての行で条件に一致しなかった場合には、この行により、最終的にパケットが廃棄されます。
次の例のようなdenyを主にして記述するACLでは、permitの行を含めないと、パケットがまったく通らないブラックホールACLとなってしまうので注意しましょう。
access-list 4 deny 1.1.1.0 0.0.0.255 access-list 4 permit any [access-list 4 deny any]
※上記の2行目のようなpermitの行がないと、全てを拒否するACLとなる
■設置する場所と方向
パケットをフィルタリングするには、そのパケットを処理するインタフェースで、パケットが流れる方向に対してACLを設置します。
方向については、インタフェースを通して、ネットワークからルータに入ってくる向きが、inです。また、そのインタフェースを通してルータからネットワークに出て行く方向がoutになります(図2)。
図2 インタフェースにACLを設置する方向
次に1つのインタフェースに、ACLを方向ごとに1つずつ設置する例を示します。インタフェースにACLを設置するときは、ip access-groupコマンドを使用します。
●番号付き標準ACLの作成
Router(config)# access-list 5 permit 10.0.0.0 0.255.255.255 Router(config)# access-list 6 permit 192.168.0.0 0.0.255.255
●インタフェースへの標準ACLの設置
Router(config)# interface GigabitEthernet0/0 Router(config-if)# ip access-group 5 in Router(config-if)# ip access-group 6 out
例では、GigabitEthernet0/0のインタフェースにおいて、宛先IPアドレスの第1オクテットが10であるパケットがルータに入ることができます。また、第2オクテットまでが192.168であるパケットがネットワークに出て行くことができます。
なお、ルータからPINGしたときのように、ルータ自信から発信される(out方向)パケットはACLの制御対象にならずに通過するので留意する必要があります。
■番号付き標準ACLの編集
古いIOSでの番号付き標準ACLの編集は、同じ番号のACLをまとめて消してから再作成します。
Router(config)#no ip access-list 4 Router(config)# access-list 4 deny 1.1.1.0 0.0.0.255 Router(config)# access-list 4 permit any
入力した行はACLの後尾に追加されます。
番号付き標準ACLも名前付き標準ACLと同じ方法で編集できます。行の番号を指定することで、特定の位置への行の追加などが可能となります。
Router(config)# access-list 4 permit any
Router(config)#ip access-list standard 4
Router(config-std-nacl)#5 deny 1.1.1.0 0.0.0.255
Router#show ip access-lists
Standard IP access list 4
5 deny 1.1.1.0 0.0.0.255
10 permit any
■名前付き標準ACLの作成例
ここでは、名前付きの標準ACLの作成例を示します。名前付き標準ACLは、英数字の名前をつけてACLを識別します。ACLOUTがこの名前付きの標準ACLの名称になります。
Router(config)#ip access-list standard ACLOUT Router(config-std-nacl)#permit 192.168.1.0 0.0.0.255 Router(config-std-nacl)#permit 192.168.2.128 0.0.0.63 Router(config-std-nacl)#5 deny 192.168.1.64 0.0.0.15 Router(config-std-nacl)#^Z
作成したACLは、showコマンドで確認できて、行番号も表示されます。
Router#show ip access-lists
Standard IP access list 4
5 deny 1.1.1.0 0.0.0.255
10 permit any
Standard IP access list ACLOUT
5 deny 192.168.1.64 0.0.0.15
10 permit 192.168.1.0 0.0.0.255
20 permit 192.168.2.128 0.0.0.63
以上、今回は、IPv4の基本的なACLとして番号付き標準ACLの機能、ワイルドカードマスクとマッチング、インタフェースへの設置方法、名前付き標準ACLを含めて解説しました。
【参考サイト】
シスコシステムズ合同会社:IPアクセスリストの設定
http://www.cisco.com/cisco/web/support/JP/100/1008/1008446_confaccesslists-j.html
| この記事で紹介した書籍 | |
|---|---|
Wendell Odom 著/株式会社クイープ 訳 |
シスコ技術者認定試験 公式ガイドブック Cisco CCENT/CCNA ICND1 100-101J本書は、シスコ技術者認定のうち、CCENT/CCNAの認定を目指す人のための公式ガイドブックです。2013年に改訂されたICND1の試験内容に対応しています。新ICND1は、旧ICND1からトピックの削除と追加が行われています。ICND1の合格により、CCENT認定を受ければ、CCNA認定への最初のステップをクリアしたことになります。本書を携えつつCiscoプロフェッショナル認定試験突破に向けて大きな一歩を踏み出しましょう。   |
連載バックナンバー
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
他にもこの記事が読まれています
全文検索エンジンによるおすすめ記事
- IPv4の高度なACL[番号付き拡張ACL/名前付き拡張ACL/ワイルドカードマスク]
- IPv4の高度なACL[拡張ACLの設定ガイドライン]
- NATの設定とトラブルシューティング
- 通信プロトコル「IP(Internet Protocol)」のポイント
- OpenStack Kilo(RDO版)でのMidoNet構築手順(2)
- RHEL-OSP6でのDVR環境構築手順
- WWWサーバーのネットワーク設定
- 既存のサブネットの分析[サブネットID、ブロードキャストアドレス、ホストアドレスを割り出す]
- IPv4のサブネット化の概要[サブネットをサイジング/プライベートアドレスとパブリックアドレスを見分ける]
- 3scaleをインストールしてみよう!