« PMBOKガイド第7版はアジャイルの観点へ大幅に内容が変わるらしい | トップページ | CCNAの感想 »

2021/06/30

アクセスリストの設定パターン

アクセスリストの設定パターンをメモ。

【参考】
ACL - 標準ACL

ACL - 拡張ACL

access-list/CiscoIOS - ネットワーク入門サイト

ip access-list/CiscoIOS - ネットワーク入門サイト

ip access-group/CiscoIOS - ネットワーク入門サイト

access-class/CiscoIOS - ネットワーク入門サイト

標準アクセスリストを設定する - ネットワークエンジニアを目指して

拡張アクセスリストを設定する - ネットワークエンジニアを目指して

アクセスリストを設定する上での注意点 - ネットワークエンジニアを目指して

【間違いやすい箇所】
ACLはルータのパケットフィルタリングでよく使う。
特定のグローバルIPアドレスで穴を開けたポートからのみ通信を許可する、とか、社内サーバーで他ネットワークからの通信は拒否する、とか。

ACLはそのコマンドが正直ぱっと見で理解しづらい。
しかも、パケットフィルタリングは上から順にIF文+Breakで実行されるので、じっくり考えないとミスしやすい。

標準ACLと拡張ACL、番号と名前の4パターンでよく間違える。
標準ACLの番号は1~99の2桁の数字、拡張ACLの数字は100~199の3桁。

ACLを設定するときは「ip access-list」でipが付く。
L3層なので、ipを付けると覚える。
一方、Telnet接続のACLでは、「access-group」でipはつけない。
L2層なので、ipを付けないと覚える。

標準ACLと拡張ACLを付ける場所は基本は決まっている。
標準ACLは送信元IPアドレスしか制御できないので、できるだけ遠いルータのIFの出口に設ける。
一方、拡張ACLは、フィルタリングできる項目が多いので、できるだけ近いルータのIFの入り口に設けて、パケットフィルタリングする。
ただし、複数のルートを持つルータがある場合、基本ルールと異なる場合があるので注意。

【コマンド】
(1)標準ACL+番号付き
RouterB(config)#access-list 1 deny host 192.168.1.100
RouterB(config)#access-list 1 permit any
RouterB(config)#interface ethernet 1
RouterB(config-if)#ip access-group 1 out

(2)拡張ACL+番号付き
RouterA(config)#access-list 100 deny tcp host 192.168.1.100 host 192.168.3.100 eq 80
RouterA(config)#access-list 100 permit ip any any
RouterA(config)#interface ethernet 0
RouterA(config-if)#ip access-group 100 in

(3)標準ACL+名前付き
RouterA(config)#ip access-list standard pingACL
RouterA(config-std-nacl)#deny tcp 192.168.1.1 0.0.0.255
RouterA(config-std-nacl)#permit ip any
RouterA(config-std-nacl)#exit
RouterA(config)#interface ethernet 0
RouterA(config-if)#ip access-group pingACL out

(4)拡張ACL+名前付き
RouterA(config)#ip access-list extended pingACL
RouterA(config-ext-nacl)#deny tcp 192.168.1.1 0.0.0.255 host 192.168.3.100 eq 80
RouterA(config-ext-nacl)#permit ip any any
RouterA(config-ext-nacl)#exit
RouterA(config)#interface ethernet 0
RouterA(config-if)#ip access-group pingACL in

(5)アクセスリストをVTYポートの「インバウンド方向」に適用する
RouterB(config)#access-list 1 deny host 192.168.1.100
RouterB(config)#access-list 1 permit any
RouterB(config)#line vty 0 4
RouterB(config-line)#access-class 1 in

|

« PMBOKガイド第7版はアジャイルの観点へ大幅に内容が変わるらしい | トップページ | CCNAの感想 »

ネットワーク・クラウド」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« PMBOKガイド第7版はアジャイルの観点へ大幅に内容が変わるらしい | トップページ | CCNAの感想 »