拡張ACLとは
パケットの送信元IPアドレス、宛先IPアドレス、プロトコル番号、送信元ポート番号、宛先ポート番号をチェックする。
番号付き拡張ACLと名前付き拡張ACLがある。
-
番号付き拡張ACL
番号で識別される拡張ACL。作成時に100~199、2000~2699の値を指定する。 -
名前付き拡張ACL
名前で識別される拡張ACL。作成時に名前を示す文字列を指定する。
拡張ACLは、標準ACLと比べてより詳細にフィルタリングすることができる。 標準ACLはネットワークごとにしかフィルタリングできないが、拡張ACLは宛先やプロトコルごとにフィルタリングすることができる。
拡張ACLの設定方法
この構成で拡張ACLの設定を行っていく。
ACL記述のルールに関しては以下の投稿で記述している.
今回は
- PC1からWebサーバに対してポート番号80のアクセスを拒否する
- PC2からWebサーバに対してポート番号23のアクセスを拒否する
- それ以外の送信元からすべての宛先へのアクセスを許可する
の3つの設定をRouter1で行う。
番号付きACLの作成
Router1(config)#access-list 100 deny tcp host 192.168.10.11 host 172.16.10.11 eq 80
Router1(config)#access-list 100 deny tcp host 192.168.10.12 host 172.16.10.11 eq 23
Router1(config)#access-list 100 permit ip any any
上記のhostはワイルドカードマスク[0.0.0.0]を省略している
インターフェースへの適用
Router1(config)#interface gigabitEthernet 0/0
Router1(config-if)#ip access-group 100 in
これで拡張ACLの設定は終わり。
拡張ACLの確認
拡張ACLは
show access-lists
または
show running-config
で確認できる。
今回の設定では対応したインターフェースに以下のように以下のように設定されていたらOK (以下の画像はshow running-configで確認)
参考
林口 裕志; 浦川 晃. シスコ技術者認定教科書 CCNA 完全合格テキスト&問題集[対応試験]200 -301. 株式会社 翔泳社.