ACLの設定方法

はじめに

今回は、ACLの設定方法について紹介していこうと思います。

ACLとは？（おさらい）

・ACL：アクセス制御を行うためのルールを定義したリストのこと。
ルーターやファイアウォールなどのネットワーク機器を通過するパケットを検査し、そのパケットを「許可」か「拒否」するのかを判断する。

・使用目的

アクセス制御：特定のユーザーやグループに対して、リソースへのアクセス権を設定する。
セキュリティ強化：未許可のアクセスを防ぎ、データの保護を行う。
管理の簡素化：複数のユーザーやグループに対して、一括でアクセス権を設定することができる。

・ACLの種類

1.標準ACL:　許可・拒否できるのは送信元IPアドレスだけ。 設定は簡単だが、制御できる条件が限られる。
2.拡張ACL：　送信元と宛先IPアドレス、ポート番号、プロトコルなど、細かい条件で制御可能。より柔軟なアクセス制御が可能。

ACLの作成

・名前付き標準ACL

Router(config)# ip access-list standard <リスト名>
Router(config-std-nacl)# <行番号> permit|deny <送信元IPアドレス> <ワイルドカードマスク>

・番号付き標準ACL

Router(config)# access-list <リスト番号>permit|deny <送信元IPアドレス> <ワイルドカードマスク> [演算子<送信元ポート番号>］<宛先IPアドレス> <ワイルドカードマスク> [演算子<宛先ポート番号>]

・名前付き拡張ACL

Router(config)# ip access-list extended (リスト名)
Router(config-ext-nacl)#(行番号) permit|deny (プロトコル) (送信元IPアドレス) (ワイルドカードマスク)

・ip access-list：このコマンドは、拡張ACLや標準ACLを定義するためのモードに入るために使う。

・ワイルドカードマスク:ネットワーク機器でアクセス制御リスト（ACL）を設定する際に使われる特殊なマスク。指定したIPアドレスのどの部分を読み取る必要があるのかを指定するための情報。
「0」:指定したIPアドレスのビットをチェックすることを示す。
「1」:指定したIPアドレスのビットをチェックしないことを示す。

・standard：送信元IPアドレスのみに基づいてトラフィックを制御する。

・extended：送信元・宛先IPアドレス、プロトコル（TCP, UDPなど）、ポート番号など、より詳細な条件で制御できる。

・permit:指定した条件に一致するトラフィックを許可する。

・deny:指定した条件に一致するトラフィックを拒否する。

・ACLのインターフェースへの適用

Router(config-if)# ip access-group (リスト名or番号) in|out

・in:インターフェースに入ってくるパケットに対して、ACLを適用する。
→外部ネットワークからルーターに入ってくる通信を制御したいときに使う。

・out:インターフェースから出ていくパケットに対して、ACLを適用する。
→内部ネットワークから外部に出ていく通信を制御したいときに使う。

・標準ACLの設定方法

通信要件
・ネットワーク192.168.1.0/24からの通信を許可
・他のすべての通信は拒否

1.ACLの作成

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 deny any

2.インターフェースのIP設定と適用方法

Router(config)# interface GigabitEthernet0/0
Rouetr(config-if)# ip address 192.168.1.1 255.255.255.0
Rouetr(config-if)# no shutdown

Router(config)# interface GigabitEthernet0/0
Rouetr(config-if)# ip access-group 1 in

→in は受信方向にACLを適用することを意味する。
このインターフェースが入ってくる通信に対して、フィルタリングが行われる。
3.確認方法

Router# show access-lists

→ACLの内容を確認する。

おわりに

今回はACLの設定方法について紹介しました！
標準ACLの設定方法を紹介しましたが、拡張ACLの設定方法についても今後紹介できたらなと思います。