Cisco 2 授業内容/基礎/ACL

ACL

  • アクセスコントロールリスト(Access Control List)
    • ルーティングすべきデータ(パケット)を検査し、ネットワークにセキュリティ制御を実装する(ファイアーウォール)

acl-network.png

ACLの適用

  • 未設定
    • 全て通過(許可:permit)
  • 設定
    • 該当インターフェイスの指定方向に送信されるパケットに対して検査
    • 先頭から順に検査し、1つでも一致すれば終了
    • 1つも該当しなかった場合は遮断(拒否:deny/"暗黙のDeny")

ACLの構成

ACLにはグループ(グループ番号)とリスト(入力行)が存在する。
同一のグループに入力した場合には入力順に検査される。

ACLの設定例

(config)#interface serial 0
(config-if)#ip access-group 1 in
(config-if)#ip access-group 2 out
(config-if)#interface FastEthernet 0
(config-if)#ip access-group 3 out
  • 構文
 (config-if)#ip access-group グループ番号 方向

検査項目

  • プロトコル(ルーティング対象プロトコル)
    • IP, ICMP, RIP, IPXなど
  • 送信元アドレス、宛先アドレス
    • IPアドレス
  • 送信元ポート番号、宛先ポート番号
    • TCP/UDP、上位プロトコル(HTTP, FTP)

ACLの分類

  • IPプロトコル
    • 標準ACL(グループ番号:1-99)
      • 送信元アドレスのみ検査
    • 拡張ACL(グループ番号:100-199)
      • 検査項目全てを組み合わせて検査

IPX、AppleTalkなども有る

ACL作成時の注意

  • ACLを作るときは permit か deny のどちらかに寄せる。
  • 拡張ACLはインターフェイスごとの矢印(流れ)を把握する必要がある

サンプル(TELNETを拒否する場合)

  • 要件
    • Ethernet 0側からのTELNET接続を拒否する

acl-telnet-network.png

(config)#access-list 101 deny tcp any host 192.168.200.254 eq 23
(config)#interface Ethernet 0
(config-if)#access-group 101 in

これだけでは、 e0 の 192.168.200.254 へのTELNET接続は拒否出来るが、 e1 の 192.168.201.254 へのTELNET接続は拒否できない。

(config)#access-list 101 deny tcp any host 192.168.201.254 eq 23

2つのACLが必要になる。

  • ACLの制限
    • 自ルータから発信されるパケット(ping等)に対してはフィルタリングできない。