Cisco Networking Academy セメスタ 2 ラボ実習 13

IPアクセスリスト

  • パケットフィルタリング
    • 前提条件
      • あるインターフェイスから受信し、あるインターフェイスへ送信する(ルータを通過する)パケットを対象とする。
    • その他の使用
      • TELNETにて他のルータなどからリモート接続を受け入れるVTYに対して、ACLを適用することができる。
        これをアクセスクラスとして、VTYラインに適用する。
  • 標準ACL
    • 送信元アドレスに基づいてルータを通過するトラフィックをフィルタリングする
    • グループ番号 : 1〜99(IOS 12.0以降追加 1300-1999)
  • 拡張ACL
    • 送信元アドレス以外にあて先アドレスやプロトコル、ポート番号などによる細かなフィルタリングが可能
    • グループ番号 : 100-199(IOS 12.0以降追加 2000-2699)
  • 暗黙の拒否
    • ACLが1つ以上、設定されている場合に最後まで検査し終えても該当するリストが見つからなかったパケットは破棄される。
  • ACLリストの構成
    • 許可リスト
      • パケットは全て破棄されることを前提に、許可するACLを登録する。
        該当するACLがない場合は、暗黙の拒否に基づき、破棄される
    • 拒否リスト
      • パケットは全て通過することを前提に、拒否するACLを登録する。
        該当するACLがない場合は、最終的に許可されるよう、最終行に全て許可のACLを登録すること
        これがない場合は暗黙の拒否に基づき、すべて破棄されてしまう。

設定手順

  • グローバルコンフィグレーションモードで、access-list コマンドを使用し、条件リストを作成する
  • インターフェイスコンフィグレーションモードで、access-groupコマンドを使用して、該当インターフェイスに適用する

標準ACL

  • 標準 IP ACL
Router(config)#access-list {番号} {permit | deny} {IPアドレス} [ワイルドカードマスク]
  • 名前付き ACL
Router(config)#ip access-list standard {名前}
Router(config-std-nacl)#{permit | deny} {IPアドレス} [ワイルドカードマスク]
  • 作成したACLの適用
Router(config)#int s0
Router(config-if)#ip access-group {番号 | 名前} [in | out]
  • 作成したACLをVTYのアクセスクラスとして適用
Router(config)#line vty 0 4
Router(config-line)#access-class {番号} [in | out]

拡張 IP ACL

  • IPに関する拡張ACL
    • 送信元指定
      • {送信元IPアドレス} [ワイルドカードマスク]
    • あて先指定
      • {あて先IPアドレス} [ワイルドカードマスク]
Router(config)#access-list {番号} {permit | deny} ip {送信元指定} {あて先指定}
  • ICMPに関する拡張ACL
    • 送信元指定
      • {送信元IPアドレス} [ワイルドカードマスク]
    • あて先指定
      • {あて先IPアドレス} [ワイルドカードマスク]
    • タイプ
      • ICMPメッセージタイプ(echo, echo-reply)
Router(config)#access-list {番号} {permit | deny} icmp {送信元指定} {あて先指定} {タイプ}
  • TCP/UDPに関する拡張ACL
    • 送信元指定
      • {送信元IPアドレス} [ワイルドカードマスク] [オプション] [送信元ポート番号]
    • あて先指定
      • {あて先IPアドレス} [ワイルドカードマスク] [オプション] [あて先ポート番号]
    • オプション
      • 後ろに続くポート番号に対してその条件範囲を指定することができる
    • ポート番号
      • TCPまたはUDPで利用するポート番号
        通常はあて先ポート番号のみを設定
Router(config)#access-list {番号} {permit | deny} {tcp | udp} {送信元指定} {あて先指定} {タイプ}
  • 名前付きACL
Router(config)#ip acess-list extended {名前}
Router(config-ext-nacl)#{permit | deny} {プロトコル} {送信元指定} {あて先指定}
  • 作成したACLの適用
Router(config)# int s0
Router(config-if)# ip acess-group {番号 | 名前} [in | out]

確認手順

Router#show ip access-list {番号 | 名前}
Router#show ip interface s0
Router#show running-config