では今回はACL(Access Control List)について勉強していきましょう。
これはルータを通過するパケットをチェックし、その通信の制御するために
ACLが使用されます。
許可する通信、拒否する通信に分けることをパケットフィルタリングと言います。
分け方は2種類に分かれます。
1つ目は標準ACLです。
この中でも番号付きと名前付きに分かれます。
これは何で管理するのかということです。
番号だと、1~99,1300~1999と決まっています。
2つ目は拡張ACLです。これは標準ACLより
もっと詳細に制御できます。
こちらも番号付きと名前付きに分かれて、番号付きだと
100~199,2000~2699になります。
では、ACLのルールについて見てみましょう。
抑えて欲しいルールは3つあります。
1つ目はACLは上の行から検索されます。
2つ目は該当する行があったとき、それ以降の行は検索しない。
3つ目は最後の行には暗黙の「全て拒否」が入るという点です。
最終的に当てはまらないIPアドレスを許可する場合は全てのIPアドレスを許可などを
設定する必要があります。
次はACLの作り方を見ていきましょう。まずは番号付き標準ACLからです。
コンフィギュレーションモードで入力します。
access-list[ACL番号][permit/deny][送信元IPアドレス][ワイルドカードマスク]
これはACLを作りなさい。リストの名前はACL番号で、内容はpermit or deny、
フィルタリングの条件は送信元IPアドレスでとワイルドカードマスクです。
ワイルドカードマスクは1のところはチェックしないで、0のところをチェックします。
つまり、192.168.10.1と書いていて、その後にワイルドカードマスクが
255.255.255.0と書いてあるとそれは第3オクテットまでは無視しなさいという意味になります。
その次は名前付き標準ACLについて見ていきましょう。
番号付きと違って、ACLに入り込みます。
ip access-list standard [ACL名]
このコマンドでACLに入り込みます。
その後、[permit/deny][送信元IPアドレス][ワイルドカードマスク]になります。
簡単なワイルドカードマスクの求め方は255.255.255.255から
サブネットマスクを引いた値がワイルドカードマスクになります。
ACLの適用方法について見てみましょう。
2種類の適用方法があります。それはインバウンドとアウトバウンドです。
インバウンドはルータのインターフェイスにパケットが届いた段階で
ACLによるチェックが行われます。
アウトバウンドはルータからパケットが出ていく段階でACLによるチェックが行われます。
また、標準ACLは拒否するトラフィックの宛先近くに設置することが望ましいです。
しかし、拡張ACLは拒否するトラフィックの送信元近くに設置することが望ましいです。
なぜかと言うと、拡張ACLは詳細に設定ができるからです。
拡張ACLの作成について見ていきましょう。
まず、番号付き拡張ACLの場合です。
access-list[ACL番号][permit|deny][プロトコル]
[送信元IPアドレス]ワイルドカードマスク
[宛先IPアドレス]ワイルドカードマスク
[オプション]
名前付きACLの場合です。
ip access-list extended [ACL名]
これでACLに入ったあと、[permit|deny][プロトコル]
[送信元IPアドレス]ワイルドカードマスク
[宛先IPアドレス]ワイルドカードマスク
[オプション]です。
この中のプロトコルはip,tcp,udp,icmpを指定します。
tcpとudpはパラメータ+ポート番号で表します。
eq(等しい),neq(等しく無い),lt(小さい),gt(大きい)
icmpはecho(エコー要求)とecho-reply(エコー応答)に分かれます。
ポート番号は数字またはポート名で表します。
では、その他の説明に入ります。
logを取得する方法について取り組みます。
logを取得するためには最後にlogを入力します。
これにより、logは見れるようになりますが、
CEFは利用できなくなります。また、CPUの負荷も増えます。