おさらい

前回はACLについて紹介しました。今回はそれをもとに、ACLの種類と設定方法などを紹介していきたいと思います。

ACLの種類と作成方法

標準ACL：送信元IPアドレスのみを使用することができる。

STEP.1：ACLの作成

• 名前付き標準ACLの場合
  　ip access-list standard <リスト名>
　<行番号> permit(deny) <送信元IPアドレス> <Wildcard Mask>
• 番号付き標準ACLの場合
  　access-list <リスト番号> permit(deny) <送信元IPアドレス> <Wildcard Mask>
  *リスト番号は1~99,1300~1999

STEP.2：インターフェースにACLを適用

RT(config-if)#ip access-group <リスト名（番号）> in(out)

拡張ACL：送信元（宛先）IPアドレス、送信元（宛先）ポート番号、プロトコル（ip/icmp/tcp/udp）などを使用

STEP.1：ACLの作成

• 名前付き拡張ACLの場合
  　ip access-list exetended <リスト名>
　<行番号> permit(deny) <プロトコル> <送信元IPアドレス> <Wildcard Mask> <(演算子)送信元ポート番号> <宛先IPアドレス> <Wildcard Mask> <(演算子)宛先ポート番号>
• 番号付き拡張ACLの場合
  　access-list <リスト番号> permit(deny) <プロトコル> <送信元IPアドレス> <Wildcard Mask> <(演算子)送信元ポート番号> <宛先IPアドレス> <Wildcard Mask> <(演算子)宛先ポート番号>
  *リスト番号は100~199,2000~2699

STEP.2：インターフェースにACLを適用

RT(config-if)#ip access-group <リスト名（番号）> in(out)

ACLの配置

• 標準ACLはできるだけ宛先の近くに配置する。
  ＊手前で適用すると他に影響を及ぼしてしまう。
• 拡張ACLはできるだけ送信元の近くに配置する。
  ＊不要なパケットを流さないためにはなるべく手前で遮断するとよい。
  ＊条件を細かく設定することで他に影響を及ぼしにくい。