🦔
ACLの設定方法
1.そもそもACLって何?
ACL(Access Control List)は、Ciscoルーターやスイッチでトラフィックを制御するためのリストです。
特定のIPアドレスやポート番号に基づいて、パケットを「許可」または「拒否」するルールを定義します。
ACLには主に以下の2種類があります:
| 種類 | 説明 |
|---|---|
| 標準ACL | 送信元のIPアドレスのみで制御 |
| 拡張ACL | 送信元・宛先IP、ポート番号、プロトコルなどで詳細に制御可能 |
2.ACLの設定方法(Cisco機器)
2.1 標準ACLの設定例
1 Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
2 Router(config)# interface GigabitEthernet0/0
3 Router(config-if)# ip access-group 10 in
- access-list:標準ACLの番号(1~99)
- 192.168.1.0 0.0.0.255:許可する送信元のIP範囲(ワイルドカードマスク)
- ip access-group 10 in:インターフェースの「受信方法」に適応
2.2 拡張ACLの設定例
1 Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
2 Router(config)# interface GigabitEthernet0/1
3 Router(config-if)# ip access-group 100 out
- access-list 100:拡張ACLの番号(100~199)
- tcp:プロトコル指定(tcp/udp/ipなど)
- eq 80:宛先ポート番号(ここではHTTP)
3.よくある間違い
ルールの順序を意識しない
ACLは上から順に評価され、最初にマッチしたルールが適応されます。
そのため、より具体的なルールを上に書く必要があります。
暗黙のdenyを忘れる
ACLの最後には** 暗黙の「deny any」 **が存在します。
明示的に許可しないトラフィックはすべて拒否されるため、必要な通信を忘れずに許可しましょう。
インターフェースの方向を間違える
ACLはin(受信)とout(送信) のどちらに適応するかで動作が変わります。
トラフィックの流れを正しく理解して設定しましょう。
4.まとめ
- ACLはCiscoネットワーク機器での基本的なセキュリティ制御手段。
- 標準ACLは送信元IP、拡張ACLはより詳細な制御が可能。
- ACLは順序・方向・暗黙のdenyに注意して設計・設定することが重要。
Discussion